oleh
Agus Pracoyo
 Beberapa
pertanyaan dalam daftar “e-Business drivers checklist”
adalah apakah supplier dan kustomer merasa nyaman (dalam hal
keamanan, kerahasiaan) untuk melakukan e-Business dengan kita
? Apakah supplier bersedia berbagi informasi dengan kita dalam
melakukan e-Business ? Jawaban dari pertanyaan-pertanyaan
ini menunjukkan kesiapan kita dalam melakukan pengamanan dalam
e-Business.
Setidaknya, ada tiga komponen yang perlu disiapkan dalam pengamanan
informasi yaitu, teknologi, proses dan komponen manusia. Dari
ketiga komponen tersebut, komponen terakhirlah yang sulit
dikontrol dan memerlukan usaha ekstra untuk menyiapkannya.
Dalam suatu audit yang saya lakukan bersama-sama internal
auditor di suatu Bank nasional terkemuka, terungkap hanya
sekitar 20% user saja yang terbukti menggunakan password untuk
mengakses PC-nya. Lebih dari 70% user tidak meng-update anti
virusnya, bahkan ada yang sampai 2 tahun tidak di-update.
Banyak file yang dishare tidak diproteksi, sehingga tanpa
disengaja saya dapat melihat (dan dapat mengubah kalau mau)
daftar calon pegawai yang diterima dan tidak diterima.
Lain halnya kasus yang saya jumpai pada suatu perusahaan selular
nasional. Administrator Intrusion Detection System (IDS)-nya
tidak tau menahu soal cara mengonfigurasi sistem IDS, apalagi
cara menginterpretasikan laporan IDS.
Dua perusahaan yang saya kemukakan di atas bukanlah perusahaan
yang menutup mata pada masalah sekuriti, bahkan mereka boleh
dikatakan termasuk yang terdepan dalam penerapan teknologi
pengamanan sistem informasi.
Kedua contoh ini menunjukkan ketidakseriusan perusahaan dalam
menangani sistem keamanan informasi. Mereka semata-mata hanya
menekankankan pada teknologi, tetapi mengabaikan faktor sumber
daya manusianya.
Ada beberapa faktor yang membuat sumber daya manusia menjadi
kendala dalam sistem keamanan informasi, yaitu :
Tidak adanya kebijakan keamanan
(security policy).
Tidak adanya security policy menyebabkan karyawan tidak mempunyai
kejelasan dan panduan dalam melakukan pengamanan sistem informasi.
Akibatnya, setiap individu mempunyai caranya masing-masing,
yang menyebabkan ketidakkonsistenan dan memperbesar risiko
keamanan.
Tidak disosialisasikannya kebijakan
keamanan.
Beberapa perusahaan hanya menjadikan kebijakan keamanan sebagai
pajangan di perpustakaan. Beberapa perusahaan lainnya melakukan
program sosialisasi hanya dengan menyebarkan surat edaran
dan mengharapkan setiap karyawan membacanya. Kebijakan keamanan
tanpa program sosialisasi yang efektif menjadi usaha yang
sia-sia belaka.
Bahasa yang digunakan susah
dimengerti.
Banyak prosedur yang dibuat oleh orang TI tanpa disadari mengasumsikan
pembacanya dari kalangan TI. Berikut ini contoh prosedur untuk
mengubah password : “ Untuk mengubah password, masuk
ke control panel , kemudian click user dan password …”.
Pembuat prosedur ini mengasumsikan bahwa setiap orang mengerti
bagaimana caranya masuk ke control panel, yang pada kenyataannya
sebagian besar karyawan non TI tidak mengerti. Jika prosedur
ini ditambahkan satu atau dua baris dan disertai gambar yang
menerangkan bagaimanan caranya masuk ke control panel, maka
prosedur ini akan lebih mudah dimengerti.
Prosedur yang dibuat tidak memperhitungkan karakter manusia.
Banyak administrator sistem keamanan salah kaprah dengan beranggapan
bahwa semakin sulit suatu sistem diakses, semakin aman, Hal
ini banyak terlihat dalam penerapan sistem password.
Menurut Jacob Nielsen, ada 5 kebohongan terbesar dalam kemanan
komputer khususnya yang berhubungan dengan masalah password,
yaitu :
• Password acak (random password) lebih aman.
• Password yang di generate oleh sistem lebih aman,
ketimbang password yang dipilih oleh user.
• Password yang panjang lebih aman ketimbang yang pendek.
• Semakin sering mengubah password akan meningkatkan
keamanan.
• Pemilihan password yang berbeda untuk sistem yang
berbeda akan meningkatkan keamanan.
Kelima hal ini akan benar, jika tanpa mempertimbangkan faktor
manusia. Pada kenyataannya jika hal ini diterapkan, yang terjadi
adalah user akan menulis password dan menempelkannya di layar
monitor atau dibalik laptopnya!
Saya justru menganjurkan menggunakan password yang mudah diingat,
seperti nama anak, judul lagu favorit, alamat rumah dengan
memodifikasi karakter, misalnya dengan mengubah huruf a dengan
@, I dengan angka 1 atau tanda ! dan sebagainya.
Sebagai contoh :
G1l@ng = Gilang
KPIBI14PK = Kompleks Palem Indah Blok I no 14 Pondok Kelapa
2old2rock’n’roll = Too old to rock ‘N’
Roll
(judul lagu group musik Jetro Tull)
Eye-Bee-Em = IBM
Kurangnya pengetahuan keamanan
informasi.
Pelatihan tentang kemanan informasi bagi administrator sistem
dan network tak dapat disangkal lagi dapat meningkatkan efektifitas
penerapan sistem keamanan suatu perusahaan. Sayangnya, banyak
perusahaan di Indonesia yang saya jumpai kurang menganggarkan
biaya untuk pelatihan keamanan informasi. Bahkan, ada suatu
perusahaan yang menugaskan karyawan fresh graduate untuk mengangani
tugas-tugas keamanan informasi.
Padahal, tugas pengamanan informasi seharusnya diberikan kepada
karyawan yang mempunyai pengalaman, baik di sistem operasi,
jaringan, dan aplikasi maupun yang memiliki pengetahuan tentang
proses bisnis suatu perusahaan.•
Agus Pracoyo •channel
manager / security consultant pada PT. Indokom Primanusa dengan
alamat e-mail: pracoyo@ipnsecurity.com
|
