Sepuluh
Mitos Sekuriti TI
Di Benak Pelaku IT Enterprise
Saat ini semua aspek kehidupan
menggunakan teknologi informasi (TI) sebagai infrastruktur, baik prasarana
maupun sarana untuk menunjang bisnis tidak mengherankan jika IT security pun banyak didengungkan oleh
berbagai kalangan, tak terkecuali pelaku industri. Memang, ada yang serius tapi
ada pula yang hanya sekedarnya saja.
Berikut ini, penulis akan
mengungkapkan sepuluh mitos tentang IT
security yang umumnya ada dibenak para pelaku TI diperusahaan. Kita akan
melihat benar atau tidaknya mitos tersebut. Bisa jadi beberapa mitos masih
tersisa dikepala kita masing-masing karena sudah bertahun-tahun kita lakukan
tanpa sadar, seperti gerakan repleks karena dilakukan secara rutin dalam olahraga
kita akan perbaiki mana yang benar dan mana yang keliru,
Mitos 1:
Pasword rumit akan
mengurangi risiko keamanan
Banyak karyawan dilevel piramida
paling bawah tidak memahami password
dan apakah itu akan mengurangi risiko keamanan
Faktanya: password
memang harus dibuat kokoh dan rumit.
Makin rumit akan makin baik karena akan menyulitkan para cracker penjebolnya. Namun password
serumit apapun akan dapat dijebol bila cara meng-input password telah
di-seniff (direkam atau di intip) dengan modus ”maninthemidleatck” atau via keiloger.
Kata kunci untuk mitos adalah tetap
waspada, hati-hati, dan tidak sembarangan membuka situs web. Perhatikan situs
web yang kita jalankan untuk melakukan transaksi perbankan via internet, karena
bisa jadi situs tersebut palsu sehingga user akan tertipu.
Mitos 2:
Perusahaan memiliki keamanan fisik
yang kokoh dan kita aman didalamnya
Perusahaan sudah berinvestasi untuk
membuat perimeter keamanan atau yang disebut vhisycal-security. Makin tinggi dan sulit perimeter, karya yang
diamankan akan makin sulit disusupi penjahat. Penjagaan yang ketat,
mempekerjakan banyak tenaga keamanan secara tersebar menambahkan perimeter,
memasang peralatan cctv, memasang doracces
card, dan sebagainya. Akan menambah kekuatan physical security dilingkungan enterprise.
Faktanya: celah keamanan (pulnerability) walau
sedikit dapat dimanfaatkan oleh para penyusup untuk masuk ke area steril. Para
penyusup berusaha keras dengan berbagai cara. Mereka mempelajari sistem
keamanan yang dipakai oleh para desainer keamanan interprise. Kata kuncinya
adalah waktu dan kesempatan.
Sebaiknya para pelaksana keamanan
terus waspada dan melakukan evaluasi terhadap perkembangan sistem keamanan
seperti menambah sensor yang canggih sehingga sistem akan mengeluarkan tanda
bahaya atau alert bila ada yang mencoba menyusup kedalam sistem.
Mitos 3:
Berpikir bahwa kita aman-aman saja di
lingkungan enterprise ini
Banyak user dan karyawan disebuah
perusahaan bergantung sepenuhya kepada sistem keamanan perusahaan. Ini menimbulkan
anggapan “kita aman-aman saka kok dan
mari lakukan pekerjaan hari ini”.
Faktanya: konpetitor
dan crechker berusaha keras mencari celah keamanan untuk menerobos sistem
keamanan. Tidak berhasil membobol hari ini mereka akan mengulangi aksinya esok hari.
Tidak berhasil melakukannya esok hari, mereka akan melakukannya minggu depan
dan seterusnya. Tidak ada kata aman seratus persen sehingga a
Harus ada monitoringi, evaluasi, dan update. Tujuannya agar user akan selalu waspada terhadap
kondisi keamanan terkini dilingkungan perusahaan.
Mitos 4:
Anggaran IT security perusahaan cukup
sepuluh persen.
Jajaran manajement senior dan
pengambil keputusan biasanya hanya mengalokasikan anggaran IT security rata-rata sebesar sepuluh
persen dari anggaran keseluruhan departemen TI jumlah ini dianggap cukup untuk
melakukan pertahanan keamanan informasi didalam perusahaan.
Faktanya: kalau anggaran TI keseluruhan adalah
Rp 1miliyar, dengan alokasi sepuluh persen saja, artinya anggaran untuk
keamanan informasi perusahaan adalah sebesar Rp 100juta. Namun, masalah utamnya
bukan budgert semata. Adalah penting
melibatkan pimpinan bersam-sama menyadari masalah keamanan informasi. Jadi
mereka bukan hanya bisa marah bila sudah terjadi insiden keamanan, melainkan
bersama-sama memikirkan sistem yang tepat.
Mitos 5:
Memakai anti virus gratis tetap aman
User dan jajaran manajemen sangat
gemar mengunduh antivirus gratis dan mungkin mencari criching kode. Tujuannya agar menghemat pengeluaran dengan laptop
dan PC kantor yang keseluruhannya berjumlah ribuan unit anggaran akan
membengkak hanya membeli lisensi anti virus/ malwer.
Faktanya: antivirus gratis atau hasil crehcing tidak bekerja maksimal.
Antivirus gratis mungkin dapat mencekal sejumlah virus tertentu saja,
katakanlah 400 rbu virus ditabel, virus
list. Bila kita menggunakan anti virus berbayar, saat kita melakukan
petching, server antivirus akan memberikan 1 juta virus petch list, jadi, kalo memakai antivirus gratis, bayangkan pc atau
laptop kita akan terancam 600 rbu virus yang tidak terdeteksi.
Mitos 6:
Teman adalah orang baik
Teman dikantor dan dilingkungan maya
sangat banyak dan beragam. Hal ini menimbulkan mitos, “teman-teman saya adalah
orang baik dan benar”.
Faktanya: tidak
semua orang atau teman adalah orang baik. Konsep dalam security adalah jangan percaya sepenuhnya kepada teman dan sistem
keamanan. Teman dapat menjadi lawan bila sudah berhadapan dalam situasi bisnis.
Teman dimedia sosial, teman sekolah, dan “nongkrong” dapat menjadi lawan yang
mematikan bila tidak berhati-hati didalam mengelola informasi. Sebaiknya kita
melakukan klasifikasi keamanan informasi, informasi mana yang boleh dibagi dan
mana yang tidak. Dalam berteman, tetap memperhatikan unsur kehati-hatian. Ini
karena informasi ada nilainya dan dapat menjadi uang disegala segi mitos.
Mitos 7:
Dengan BYOD, diperbolehkan membawa
dan menggunakan perangkat pribadi kekantor.
Beberapa perusahaan membolehkan
karyawan dan jajaran manajemen membawa smartphone,
laptop, camera, flashdish¸atau hardisk eksternal milik pribadi
kekantor. Perusahaan berharap, karyawan menjadi lebih produktif karena
menggunakan peralatan sendiri dan dapat membawa pulang pekerjaannya.
Faktanya: BYOD atau Bring Your Own Devisce adalah sumber masalah didunia IT security. Makin banyak perangkat
dilingkungan perusahaan dan makin canggih perangkat, akan menjadi sumber fulnerability. Dengan ketersediaan
hardisk eksternal berukuran 1TB, atau menghubungkan smartphone dan kamera ke
internet, tidak akan sulit memindahkan sejumlah besar data/informasi perusahaan
tanpa diketahui siapa pun.
Mitos 8:
Ada kebijakan keamanan, bereslah
masalah keamanan
Perusahaan bergedung megahpun belum
tentu memiliki kebijakan IT security yang baik. Oleh karena itu bila ada
perusahaan yang sudah memiliki kebijakan tersebut, boleh dikatakan seluruh user
TI disana sadar sepenuhnya mengenai kebijakan IT security.
Faktanya: kebijakan IT security bukan
satu-satunya faktor penentu. Ada banyak hal yang harus dilakukan setelah
memiliki kebijakan tersebut. Perencanaan yang baik dan benar misalnya akan
memperkuat kebijakan keamanan. Siklus sistem
keamanan-perencanaan-implementasi-evaluasi-perawatan-harus berjalan
berkesinabungan dan tidak dilakukan salah satu saja. Seperti disebuah kapal
celah sekecil apa pun bisa menjadi besar dan menjadi jalan masuk para penyusup
keamanan. Taruhannya adalah berpindahnya informasi ke pihak lawan.
Mitos 9:
Pelanggaran kecil tidak mengganggu
sistem yang besar
Perusahaan menolerir pengeluaran
kebijakan IT security dengan dalih itu pelanggaran kecil dan ringan, tidak
mengganggu sistem secara keseluruhan.
Faktanya: perusahaan besar maupun kecil
seharusnya bersikap sama dalam melaksanakan kebijakan. Risiko yang mereka
tanggung pun ada yang besar maupun kecil. Sikap toleran ini dapat dimanfaatkan
oleh jajaran manajement senior atau menengah keatas dalam hal pelanggaran
hukum. Tidak sedikit manajer, baik yunior maupun senior, terlibat berbagai
kejahatan elektronik.
Mitos 10:
Membeli tool security akan menhindarkan
kita dari segala masalah
Ada beberapa perusahaan yang membeli
tool security berupa hardware maupun software
untuk mengamankan informasi, dengan harapan segala masalah security
akan sirna.
Faktanya: masalahnya bukan sekedar budget. Tanpa perencanaan dan pemetaan
security yang jelas, membeli aneka perkakas (tool) security bisa menjadi langkah menyia-nyiakan anggaran yang telah
dikeluarkan. Ujungnya adalah perusahaan harus merombak total seluruh peralatan
yang terlanjur dibeli dan dipakai, memetakan kembali, sehingga akhirnya menjadi
double asset (peralata lama tidak
digunakan lagi) karena salah beli dan mungkin salah desain.
Memang banyak mitos berkembang
diperusahaan. Mereka telah menyisihkan anggaran untuk membeli aneka peralatan
IT security. Namun IT Management yang telah dibangun
seringkali tidak didukung IT security yang baik proses “tambal sulam” disisi IT Management akan berdampak juga di iIT
security. Seyogyanya, para decision maker mengambil keputusan yang
bijak dan benar dalam mengimplementasi peralatan dan pemetaan IT security dengan begitu, interprese
akan menjadi lebih aman, baik dari sisi informasi, SDM, dan peralatan
didalamnya.
EmoticonEmoticon