Kehadiran teknologi AI membuat operasional bisnis jauh lebih efisien, namun inovasi ini juga membawa risiko seperti kebocoran data sensitif hingga penggunaan Shadow AI.
Hal ini menjadi dilema bagi manajemen yang sedang berupaya memenuhi klausul ISO 27001 pada teknologi AI demi mendapatkan sertifikasi keamanan global.
Pertanyaannya, bagaimana menyiasati risiko ini tanpa mengorbankan inovasi? Simak panduan lengkap berikut untuk menyelaraskan Sistem Manajemen Keamanan Informasi (SMKI) perusahaan Anda dengan tren AI modern.
Memahami Risiko AI dalam Sertifikasi ISO 27001:2022
Mengamankan teknologi AI sangat berbeda dengan mengamankan aplikasi biasa seperti Microsoft Excel. Aplikasi biasa bersifat statis, sedangkan AI terus menyerap data baru yang dimasukkan oleh penggunanya agar bisa menjadi lebih pintar. Sifat AI yang terus “belajar” inilah yang rawan memicu celah keamanan.
Risiko ini secara langsung dapat merusak tiga pilar utama keamanan data (confidentiality, integrity, availability) yang menjadi syarat mutlak kelulusan sertifikasi ISO 27001.
Untuk menjaga kepatuhan ISMS (Information Security Management System), berikut adalah tiga ancaman utama AI yang perlu diperhatikan:
1. Kebocoran Data Informasi (Data Leakage)
Ketika karyawan memasukkan data keuangan, dokumen rahasia, atau kode sumber (source code) perusahaan ke dalam prompt AI publik, data tersebut akan tersimpan di server pihak ketiga.
Pihak luar dapat menggunakan data ini sebagai bahan pelatihan (training data) model mereka, sehingga berpotensi besar terekspos ke publik.
2. Peracunan Data Model (Model Poisoning)
Berbeda dengan manipulasi database tradisional, penyerang dapat merusak sistem AI dengan cara memasukkan data input yang menyesatkan. Akibatnya AI menjadi terdistorsi, lalu menghasilkan output atau keputusan bisnis yang cacat dan pada akhirnya mengacaukan proses operasional perusahaan.
3. Pelanggaran Hukum dan Privasi (Compliance & Privacy Breach)
Pemrosesan data pribadi oleh AI tanpa aturan main yang jelas sangat rawan memicu pelanggaran hukum. Di Indonesia, hal ini berkaitan erat dengan kepatuhan terhadap UU Perlindungan Data Pribadi (UU PDP).
Jika perusahaan gagal dalam membatasi akses data pada teknologi AI, maka selain gagal dalam audit ISO 27001, juga berisiko mendapatkan sanksi atau denda yang berat.
Baca Juga : 10 Penyebab Gagal Audit ISO 27001 dan Cara Menghindarinya
Langkah Memenuhi Klausul ISO 27001 Pada Teknologi AI
Untuk memastikan perusahaan telah mengadopsi teknologi AI secara aman, Anda perlu mengintegrasikan tata kelola AI ke dalam klausul Sistem Manajemen Keamanan Informasi perusahaan. Berikut adalah langkah-langkah implementasinya:
1. Klausul 4.1 & 4.2: Memetakan Konteks Organisasi dan Kebutuhan Stakeholder
Langkah pertama adalah mendefinisikan ulang ruang lingkup (scope) penerapan ISMS Anda. Anda harus memetakan dengan jelas bagaimana teknologi AI ini akan digunakan di dalam organisasi.
Apakah teknologi AI ini digunakan sebatas alat bantu internal (seperti ChatGPT untuk merangkum dokumen) atau diintegrasikan sebagai fitur utama dari produk digital yang Anda jual ke klien?
Perbedaan peran ini akan menentukan batasan risiko, pihak ketiga yang terlibat (interested parties), serta standar kepatuhan hukum yang wajib dipenuhi demi menjaga kepercayaan stakeholder.
2. Klausul 6.1.2: Memasukkan Risiko AI ke dalam Information Security Risk Assessment
Setelah ruang lingkup jelas, selanjutnya Anda wajib memperbarui dokumen Risk Register perusahaan. Masukkan skenario ancaman baru yang spesifik berbasis AI, seperti:
- Risiko karyawan menggunakan Shadow AI (aplikasi AI tidak resmi).
- Risiko bias pada keputusan yang diambil oleh sistem AI.
- Risiko ketergantungan pada API pihak ketiga yang tidak stabil.
Setelah mengumpulkan identifikasi risiko, tentukan pula Risk Owner atau penanggung jawab untuk setiap risiko tersebut. Setelah itu, tetapkan juga parameter dari Risk Acceptance yang sesuai dengan risk appetite manajemen.
3. Klausul 8.1: Perencanaan dan Pengendalian Operasional
Perusahaan perlu membuktikan bahwa seluruh rencana mitigasi risiko yang sudah disusun benar-benar dijalankan dalam operasional harian.
Oleh karena itu, Anda harus mengintegrasikan safe AI practices ke dalam alur kerja harian. Misalnya, menerapkan proses persetujuan resmi sebelum tim operasional menggunakan perangkat AI baru. Bisa juga dengan menyediakan security awareness training berkala yang membahas cara aman berinteraksi dengan teknologi AI.
Menyelaraskan Kontrol Annex A ISO 27001 dengan Penggunaan AI
Setelah menyesuaikan klausul inti, Anda juga harus memperbarui kontrol teknis dan organisasional pada Annex A standar ISO 27001:2022 agar relevan dengan karakteristik AI yang digunakan.
1. Kontrol Organisasional (A.5)
a. A.5.8 Kebijakan Keamanan Informasi
Manajemen wajib menyusun dan mengesahkan AI Acceptable Use Policy (Kebijakan Penggunaan AI yang Diperolehkan).
Kebijakan akan mengatur secara tegas platform AI apa saja yang boleh digunakan karyawan, jenis data apa yang dilarang dimasukkan ke dalam prompt, serta sanksi jika terjadi pelanggaran.
b. A.5.23 Keamanan Informasi dalam Layanan Cloud
Saat menggunakan AI berbasis cloud atau mengintegrasikan API pihak ketiga, tim GRC harus melakukan proses due diligence yang ketat.
Pastikan vendor AI telah memiliki sertifikasi ISO/IEC 27017 (Keamanan Cloud) dan ISO/IEC 27018 (Privasi PII di Cloud) yang menjamin bahwa data yang dikirimkan perusahaan tidak akan digunakan ulang untuk melatih model AI publik mereka.
2. Kontrol Teknis (A.8)
a. A.8.12 Pencegahan Kebocoran Data (DLP)
Perusahaan harus mengonfigurasi dan memperbarui sistem Data Loss Prevention (DLP) untuk mendeteksi serta menyaring data sensitif.
Sistem juga harus bisa melakukan blokir otomatis jika ada karyawan yang mencoba menyalin kode sumber (source code), data finansial, atau data pribadi pelanggan ke platform AI publik.
b. A.8.20 & A.8.26 Keamanan Jaringan & Pembatasan Aplikasi
Guna mengatasi fenomena Shadow AI (penggunaan AI tanpa izin), tim IT harus membatasi hak akses pengguna di jaringan kantor melalui kontrol A.8.26.
Lakukan pemblokiran pada level firewall, web proxy, atau endpoint terhadap situs-situs AI generatif ilegal yang tidak masuk dalam daftar aplikasi resmi yang disetujui perusahaan.
3. Kontrol Pengamanan Kode Sumber (A.8.28) untuk Tim Developer
a. Mitigasi Penggunaan AI Coding Assistant
Jika tim developer menggunakan alat bantu seperti GitHub Copilot, maka perusahaan wajib menerapkan proses code review berlapis yang melibatkan manusia (human-in-the-loop).
Ingatlah bahwa AI dilatih menggunakan miliaran baris kode di internet yang belum tentu aman, sehingga kode yang dihasilkan AI sering kali membawa celah keamanan tersembunyi.
b. Pengujian Keamanan Otomatis
Integrasikan pemindaian keamanan otomatis seperti SAST (Static Application Security Testing) ke dalam alur pipeline CI/CD untuk mendeteksi kelemahan kode dari AI sebelum masuk ke tahap produksi.
Baca Juga : 10 Penyebab Gagal Audit ISO 27001 dan Cara Menghindarinya
Penuhi Klausul ISO 27001 pada Teknologi AI Perusahaan Anda Bersama Konsultan DSG
Mengintegrasikan teknologi AI ke dalam kerangka kerja ISO 27001 membutuhkan pemahaman mendalam dari sisi celah siber modern maupun regulasi kepatuhan yang ketat.
Melakukan pemetaan risiko dan penyesuaian kontrol sering kali memakan waktu yang lama, menguras sumber daya internal, dan memperbesar risiko gagal saat audit jika ada kontrol teknis yang terlewat.
Untuk memastikan inovasi AI di perusahaan Anda berjalan aman dan compliant tanpa mengorbankan operasional bisnis, Digital Solusi Grup (DSG) hadir sebagai mitra strategis Anda.
Sebagai penyedia Jasa Pendampingan ISO 27001 berpengalaman, DSG menyediakan layanan end-to-end yang disesuaikan dengan kebutuhan bisnis Anda, meliputi:
- Gap analysis komprehensif untuk menilai sejauh mana kesiapan infrastruktur IT dan penggunaan AI perusahaan Anda saat ini terhadap standar ISO 27001:2022.
- Pendampingan dalam merancang dokumen AI Acceptable Use Policy dan pembaruan Risk Register yang sesuai regulasi lokal seperti UU PDP.
- Pendampingan penuh tim internal Anda dari masa implementasi, simulasi audit internal, hingga pelaksanaan audit sertifikasi oleh badan audit eksternal.
Hubungi tim ahli DSG sekarang juga dan jadwalkan konsultasi gratis untuk mengamankan reputasi bisnis serta status kepatuhan organisasi Anda!
