Data konsumen merupakan salah satu aset penting bagi perusahaan. Oleh karenanya perusahaan perlu melindungi atau mengamankan data konsumen dari risiko kebocoran, kerusakan, ketidakakuratan, kehilangan, bahkan penyalahgunaan yang dilakukan baik sengaja maupun tidak. Oleh karenanya PT KB Finansia Multi Finance membuat kebijakan sesuai regulasi dengan menerapkan dan mematuhi ISO 27001.

Latar Belakang Perusahaan
PT KB Finansia Multi Finance (“Kreditplus”) merupakan perusahaan pembiayaan yang berdiri sejak 1994 dengan mengawali usahanya untuk membiayai motor, mobil dan alat-alat berat. Saat ini, dengan bisnis yang sudah lengkap mulai dari elektronik, mobil, motor, dan multi finance, Kreditplus harus melindungi data konsumen.

Sangat disadari bahwa saat ini banyak bermunculan perusahaan berkembang khususnya dalam industri serupa, sehingga banyak hal-hal baru yang harus dilakukan Kreditplus, salah satunya dengan meningkatkan kualitas perusahaan dengan mematuhi regulasi. Sayangnya, saat itu, Kreditplus terbentur dengan banyaknya kebijakan dari regulasi yang harus dipenuhi. Dimana pada saat itu Kreditplus sudah memiliki dan menjalankan kebijakan sesuai pandangan sendiri.

Sedangkan dari sisi teknologi, Kreditplus juga menginginkan adanya pembaharuan digital guna meminimalisir kebocoran data yang merupakan bagian dari strategi Kreditplus dalam melindungi data konsumen baik dari internal maupun eksternal.

“Saat ini banyak perusahaan berkembang secara digital, sehingga banyak yang harus kami tingkatkan, salah satunya dengan memenuhi ISO 27001. Karena ini sangat penting, dapat digunakan untuk mematuhi regulasi dan menambah kepercayaan terhadap konsumen. Jika kami tidak memenuhi regulasi, maka kami akan di drop dan kembali keawal lagi, yaitu proses bisnis melalui offline dan otomatis akan tertinggal jauh”, ujar Herinaldi, IT Security Senior Manager, PT KB Finansia Multi Finance menjelaskan dasar dari penerapan ISO 27001.

Tantangan Bisnis
Dengan mempertimbangkan perlindungan dan pengamanan informasi terhadap konsumen, jelas tidak hanya dari satu departemen saja, namun menjadi tanggung jawab dari seluruh karyawan perusahaan yang menggunakannya. Termasuk melindungi informasi dari berbagai ancaman keamanan dimana dapat meningkatkan efisiensi, efektivitas dan kinerja operasional perusahaan. Oleh karenanya Kreditplus menetapkan kebijakan keamanan informasi dalam rangka melindungi seluruh aset sistem informasi yang digunakan.

“Keputusan setuju untuk memenuhi kebijakan Information Security Management System (ISMS) dari Manajemen menyiratkan agar kami segera go digital terpenuhi. Kami sudah memiliki blueprint ISO 27001. Semua kebijakan-kebijakan yang sudah dibuat harus memenuhi standar, sesuai dengan standar ISO 27001 yang benar, tidak berdasarkan persepsi sendiri”, ujar Herinaldi menambahkan.

Dengan berjalannya waktu, Kreditplus terus memantapkan diri dalam mempersiapkan segala sesuatunya menuju pemenuhan ISO 27001, misalnya dokumentasi kebijakan-kebijakan yang harus diubah, tim dilapangan, pemilihan vendor serta komitmen.

Dalam menentukan vendor sebuah proyek, Kreditplus memiliki beberapa peraturan, tidak hanya melulu masalah anggaran, namun diharapkan juga memiliki pengalaman, dapat menangani penerapan ISO 27001, memiliki tim yang kuat serta kerjasama yang baik dengan Kreditplus. Dan pilihanpun jatuh kepada PT Mitra Integrasi Informatika (“MII”)—salah satu entitas Metrodata Group sebagai mitra dalam penerapan ISO 27001.

“MII merupakan salah satu perusahaan rekanan yang sudah masuk dalam daftar Kreditplus dan kami sudah memiliki rekam jejak yang baik bersama MII”, kata Herri ketika bercerita tentang proses pemilihan vendor. “Bagi kami yang terpenting adalah pengalaman dari jam terbang”, kata Herinaldi menambahkan.

Apa yang sudah Kreditplus lakukan baik benar atau salah, disampaikan semua kepada tim Consulting Services MII, tidak ada yang tertinggal dan Kreditplus terbuka untuk diperbaiki, dikoreksi serta mengikuti petunjuk dari MII agar berhasil mendapatkan sertifikat tersebut.

Pengguna dari aplikasi Kreditplus adalah konsumen, sedangkan keterlibatan pengguna terkait  ISO 27001, 70% lebih banyak internal Kreditplus dimana melibatkan semua departemen termasuk jajaran Direksi.

Dalam prosesnya, ternyata banyak hal yang harus dilakukan Kreditplus. Selain melakukan pendekatan terhadap Manajemen dan dukungan, tim ISO Kreditplus juga melakukan change management terhadap penggunanya, melaksanakan sesuai dengan arahan termasuk mengatasi kendala dengan tim dilapangan untuk mengubah mindset, perilaku, mengadakan sosialisasi melalui email, security awareness, informasi tentang ISO, pelatihan yang dilakukan berkala termasuk mengubah surat keputusan direksi. Dengan mematuhi ISO 27001, perusahaan akan mendapatkan impact yang besar.

Tantangan lain dalam proses proyek ISO 27001 adalah komunikasi. Baik komunikasi terhadap tim dilapangan juga dengan tim MII.  Hal ini perlu ditekankan dan sifatnya wajib, karena ketika terjadi sesuatu dengan pengamanan data, maka perusahaan memiliki tanggungjawab yang besar. Dan tentunya akan berdampak negatif terhadap perusahaan. Demikian juga dengan MII, koordinasi maupun pertemuan lebih banyak dilakukan online ketimbang onsite, karena saat itu situasi masih pandemi. Namun dari sisi karyawan maupun Kreditplus pun dinilai sangat kooperatif.

Hasil & Manfaat
Dengan mematuhi ISO 27001, Kreditplus memberikan trust kepada perusahaan dan menjadikan investor menjadi lebih yakin, bahkan penjualan mengalami peningkatan sebesar 10-20%.

“5 tahun sebelumnya kami ingin mematuhi ISO 27001, namun terkendala dengan peraturan-peraturan yang harus dipenuhi. Setelah kami melakukan perbaikan, ternyata kami mampu mematuhinya. ISO bukan sesuatu yang dibuat untuk dilanggar, namun sebaliknya. Dengan mematuhi ISO, kami memastikan bahwa proses ISMS dapat mencapai tujuan dan sasaran yang telah direncanakan perusahaan, mencegah dampak dari risiko yang terjadi, meningkatkan ISMS yang berkelanjutan di perusahaan, dan pastinya kami ingin tetap konsisten serta menjaga ISO”, jelas Herinaldi.