Masalah keamanan data dan komunikasi data di banyak perusahaan Indonesia, boleh dibilang masih sangat rawan. Apa yang semestinya menjadi perhatian? Haruskan CEO juga memperhatikan masalah keamanan data ini?

Penerapan sistem teknologi informasi (TI) yang semakin meningkat belakangan ini, memang telah mendorong banyak perubahan, misalnya saja dalam hal pelayanan. Baik yang menyangkut bervariasinya layanan, kecepatan dan ketepatannya, juga ketersediaan layanan yang lebih baik. Ambil contoh, mana sih perbankan yang saat ini yang tidak menerapkan TI?

Boleh dikata hampir semua perbankan nasional kita telah menerapkannya. Yang membedakan antara satu perusahaan dengan perusahaan lainnya adalah lebih banyak pada intensitas dan komprehensivitas penerapannya, apakah masih lebih banyak berada di kantor pusat atau sudah menyebar hingga ke cabang-cabang yang berada di ibukota propinsi, kotamadya, kabupaten atau, bahkan, kecamatan.

Kita bersyukur bahwa dengan dukungan TI, banyak layanan yang sekarang ini dapat dilakukan secara cepat dan mudah. Tentu saja, itu dikarenakan tersedianya infrastruktur yang mendukung semua itu, baik yang dibangun sendiri oleh para perusahaan, baik provider maupun perusahaan pengguna. Intensitas yang sama, di dalam perusahaan juga semakin meningkat, bukan hanya penggunaan TI, tetapi kegiatan komunikasi data ke luar perusahaan baik dalam lingkungan nasional maupum ke mancanegara.

Ke depan, tampaknya, ketergantungan terhadap penerapan TI dengan berbagai varian aplikasinya akan semakin meningkat. Bukan saja penerapan TI-nya saja yang terus meningkat, orang yang menggunakannya pun semakin banyak, baik pengguna sistem TI internal di lingkungan perusahaan, maupun para pelanggan atau nasabah yang mendapatkan pelayanan yang berbasis TI itu.

Hal itu jelas sangat menuntut adanya dukungan ketersediaan layanan yang terus-menerus, 24 jam sehari, 7 hari dalam seminggu, tersebar secara nasional, terdukung dengan layanan yang baik, cepat, dan yang tak kalah pentingnya adalah aman. Keamanan data dan informasi, bukan saja sangat penting bagi perusahaan, melainkan juga bagi si nasabah atau pelanggan. Karenanya, masalah keamanan data dan informasi ini harus mendapatkan perhatian yang sungguh-sungguh.

Saat ini, sebagaimana diakui Irfan Setiaputra, Managing Director, PT Cisco Systems Indonesia, bahwa ada kecenderungan para CEO menyadari perlunya penanganan keamanan data ini. Namun, menurut Irfan, berbagai aplikasi kini semakin banyak ditempatkan di pengguna, begitu juga datanya. Dengan data yang ada di mana-mana, maka perusahaan-perusahaan juga semakin sulit mengontrolnya; siapa saja yang bisa mengakses data, sampai di tingkatan apa masih dibolehkan untuk data tertentu.

Apalagi, ketika sistem TI perusahaan sudah terhubung ke Internet, ia akan menjadi lebih terbuka, dan aksesnya dapat dilakukan dari mana saja. Dengan begitu, maka persoalan security ini pun menjadi jauh lebih rumit dibandingkan sebelumnya. Bukan saja teknologinya yang semakin canggih, solusinya yang semakin meluas, ancaman terhadap keamanan data pun semakin bervariasi dan intensif.

Isunya, sekarang ini, ujar Irfan, bukan lagi hanya data dan informasi yang hilang karena dicuri orang, melainkan dapat dilakukannya penimbunan saluran (pump bandwidth) yang tidak memungkinkan menggunakan saluran, karena trafiknya penuh. “Datanya memang tidak diganggu, tetapi transaksi sebenarnya tidak bisa masuk, karena trafiknya penuh dan macet,” tambah Irfan.

Anthony Zboralski, seorang praktisi Information Security dan Konsultan PT Bellua Asia Pacific, yang banyak berpengalaman dalam masalah security ini, mengungkapkan masalah yang lebih gawat lagi. Cukup dengan melakukan penetration test, menurut Anthony, kita bisa mengetahui bahwa masalah keamanan data di lingkungan perusahaan-perusahaan di Indonesia masih belum memadai.

Bayangkan, hingga kini, menurut Anthony, jejaring banyak perusahaan masih sangat terbuka dan mudah dideteksi. Tak hanya data nasabah, data transaksi pun bisa terdeteksi, berikut rinciannya lebih lanjut, seperti nomor account dan sebagainya. Ini merupakan masalah-masalah yang belum begitu menjadi perhatian kalangan perusahaan, padahal data perusahaan jelas sangat penting bagi bisnis mereka.

Memang, diakui Anthony, masalahnya tak semata-mata teknologi. Kalau menyangkut teknologi, sudah banyak perusahaan yang menerapkannya, misalnya saja firewall, intrusion detection system dan lain sebagainya. Namun, yang lebih parah justru di aspek-aspek lainnya, yang lebih banyak menyangkut manusia, prosedur dan disiplin. Irfan juga melihat masalah manusia ini masih sangat rawan dalam penanganan security ini.

Selain masalah kedisiplinan dalam memenuhi kebijakan keamanan data (security policy), masalah lainnya misalnya karena kurangnya kesadaran orang-orang yang mestinya bertanggungjawab di dalam perusahaan, termasuk CEO, terutama karena mereka lebih fokus pada teknologi. Seolah-olah ketika mesin sudah dijaga dan dikontrol 24 jam, dan semua perangkat security yang canggih sudah diterapkan, maka akan amanlah semua data yang ada.

Masalah penggantian password saja, ujar Irfan, terkadang kurang begitu diperhatikan. “Kita di Cisco, sistem yang mewajibkan kita untuk mengganti password sebulan sekali. Kalau tidak diganti akan diberi alert – waktu Anda untuk mengganti password tinggal lima hari lagi, empat hari lagi dan selanjutnya. Jika sampai waktunya, password tidak juga diganti, sistem tak akan bisa diakses. Saya sendiri pernah mengalaminya sekali,” tambah Irfan. Awalnya, tambah Irfan, kita sih mengeluh, tapi akhirnya kita menyadari bahwa itulah cara terbaik dalam melindungi aset perusahaan. Ya, kita lakukan. Padahal, password-nya berlapis-lapis.

Seperti diakui oleh Triasmoro, Kepala Bagian Pengelola Sistem Security, Divisi Teknologi Sistem Informasi – BRI, tak jarang kebijakan keamanan yang telah disusun dengan susah payah dalam satu buku yang tebal, ternyata tidak dibaca oleh pengguna, apalagi diterapkan.

Masalahnya, aspek manusia ini, tak hanya terkait dengan intrusi dari luar, misalnya oleh hacker dan lainnya, melainkan juga dapat dari dalam. Itu dapat terjadi, misalnya karena dilakukan oleh karyawan yang sangat tahu mengenai komputer dan sistem TI perusahaan, tetapi kontrolnya lemah. Bisa juga, karena ketidakdisiplinan karyawan terhadap semua prosedur dan kebijakan security yang ada. Dapat juga, karena keteledoran karyawan, yang meski memiliki password atau identitas kunci lainnya, tetapi dapat dengan mudah terabaikan.

Di sisi lain, kurangnya kontrol terhadap orang-orang yang masuk ke dalam lingkungan perusahaan, yang dapat dengan mudah (karena kurangnya kesadaran pengontrolannya) masuk ke dalam jejaring perusahaan yang penuh dengan data dan informasi itu. Belum lagi, adanya proses social engineering yang dilakukan pihak-pihak luar, misalnya untuk mendapatkan password atau kunci lainnya, yang secara tanpa sadar dilakukan oleh karyawan pengguna, terutama karena masih lemahnya pelatihan yang dilakukan.

Juga, terbukanya sistem jejaring, terutama yang menggunakan akses nirkabel, yang menurut Anthony, meski setting keamanannya sudah tersedia di perangkat yang digunakan, namun karena tetap dibiarkan dalam default setting-nya (tidak diubah sesuai kebutuhan), maka sistem keamanannya tidak termanfaatkan.

Meski kini sudah tersedia layanan yang lebih aman, seperti layanan VPN (Virtual Private Network), namun itu masih mencakup keamanan data dalam perjalanan dari satu titik ke titik yang lain. Bagaimana dengan tumpukan data yang ada di dalam sistem TI perusahaan, kalau orang lain bisa masuk ke sistem tanpa harus menjebol pertahanan yang memang sudah berlapis-lapis itu. Itulah yang menurut Anthony, mengapa perusahaan perlu memperhatikan aspek-aspek lainnya, sehingga tidak hanya fokus di teknologi. Tetapi, bukan berarti teknologi itu tidak perlu. Jelas sangat diperlukan! Tetapi, luaskan wawasan hingga mencakup banyak aspek yang perlu mendapat perhatian.

Dalam kaitan itu, Anthony menyarakan perlunya perusahaan memperhatikan juga mengenai aplikasi, sistem operasi, kebijakan security dan disiplin menjalankan proses yang semestinya. Itu berarti, perlu dilakukannya pelatihan yang terus-menerus guna membuat para pengguna semakin menyadari betapa pentingnya melindungi data perusahaan yang merupakan aset strategis dari kemungkinan dicuri, diubah atau digunakan untuk kepentingan lain yang mungkin sangat merugikan perusahaan. Tak jarang, untuk mengganti password saja terkadang karyawan tak tahu. Ini tantangan berat.

Di sisi lain, Irfan, juga menyoroti perlunya kesadaran para CEO (Chief Executive Officer) terhadap masalah keamanan data ini. Jadi, ujarnya, jangan cukup diserahkan masalah security ini kepada manajer TI misalnya. Para CEO sungguh harus bertanggungjawab penuh terhadap kesalamatan aset perusahaan yang berupa data dan informasi itu. Karena itu menyangkut aset perusahan.

“Sekali-sekali para CEO coba melihat ke dalam laptopnya, atau komputer di kantornya atau server di mana semua data perusahaan yang merupakan aset utama itu berada. Apa yang sesungguhnya ada di sana. Nah, bagaimana kalau aset yang sangat berharga itu diketahui atau bahkan dicuri orang lain? Apakah perusahaan Anda akan memiliki arti lagi?,” ujar Irfan. Bisa-bisa, tambahnya, ketika semua aset itu diketahui perusahaan pesaing, perusahaan Anda dalam 5 tahun ke depan tak lagi mempunyai competitive edge, karena pesaing Anda yang akan lebih dulu menciptakan layanan atau produk baru dibandingkan Anda. Pertanyaannya, pedulikah Anda terhadap keamanan data dan informasi Anda?•••

Klasifikasi Kontrol

1. Kontrol manajemen dan organisasional
2. Kontrol lingkungan fisik
3. Kontrol Operasi
4. Kontrol Teknik

Klasifikasi ini digunakan untuk membantu menentukan kontrol non-teknik (tiga klasifikasi pertama) dan kontrol teknik.

Kontrol ini didasarkan pada standar yang tertera dalam AS/NZS 7799.2:2003 dan tambahan informasinya dapat dilihat pada “Information Security Management Standard” bagian 1 (AS/NZS 17799:2001) yang mengidentifikasi 10 kelompok kontrol, yaitu:

1. Kebijakan keamanan (Security policy);
2. Organisasi keamanan (Security organization);
3. Klasifikasi asset dan control (Asset classification and control);
4. Tenaga keamanan (Personnel security);
5. Keamanan lingkungan dan fisik (Physical and environmental security);
6. Manajemen komunikasi dan operasi (Communications and operations management);
7. Kontrol asset (Access control);
8. Pengembangan sistem dan pemeliharaan (System development and maintenance);
9. Manajemen kelangsungan bisnis (Business Continuity management);
10. Kesesuaian (Compliance).