MANAJEMEN-TI.COM — Banyak organisasi yang telah mengambil sejumlah inisiatif untuk melindungi informasi yang dikelolanya. Baik melalui penerapan kebijakan-kebijakan keamanan siber, implementasi tools tertentu, penerapan strategi-strategi yang dapat membuat mereka merasa cukup terlindungi keamanannya. Namun demikian, sayangnya, seringkali pertahanan mereka itu tidak sekuat sebagaimana yang mereka pikirkan. Dan sayangnya lagi, perasaan merasa aman ini sangat mudah menjangkiti kita semua.
Pembobolan data (data breach) sudah menjadi berita sehari-hari beberapa tahun belakangan ini. Dan terdapat pertumbuhan kesadaran dari berbagai organisasi untuk memeranginya dan melakukan antisipasi-antisipasi jika hal tersebut sampai terjadi. Potensi biaya yang ditimbulkan akibat tercurinya data telah membumbung jauh di atas biaya yang dibutuhkan untuk mengatasinya. Termasuk misalnya biaya akibat adanya denda regulator dan rusaknya reputasi organisasi yang tak ternilai harganya.
Walaupun kini tingkat kesadaran akan risiko-risiko tersebut telah jauh membaik, namun ternyata usaha perlindungan keamanan siber itu lebih berat dari yang dibayangkan banyak orang.
Banyak kejadian perusahaan yang sebenarnya sudah memulai inisiatif keamanan yang benar, tapi karena kurang terjaga konsistensinya maka kemudian menimbulkan kerentanan baru. Untuk mendapatkan standard tingkat keamanan siber yang baik itu dibutuhkan ketelitian dan pendekatan yang komprehensif terhadap seluruh faktor risiko yang mungkin terjadi. Kemudian berdasarkan faktor-faktor risiko tersebut dilakukan usaha-usaha yang valid dan berkelanjutan untuk penanganannya. Hal yang sering terjadi adalah banyak perusahaan yang sudah melakukan beberapa hal bagus untuk keamanan informasi organisasinya, tapi lalu merasa tenang, aman dan nyaman. Sikap seperti ini dapat menjadi bumerang yang membahayakan.
Berikut adalah empat asumsi yang sering kita dengar yang dapat berdampak sangat berbahaya bagi keamanan organisasi secara keseluruhan.
[Baca juga: Information Security Governance, Mengapa Sering Gagal?]
Ah..Risikonya tidak sebesar itu lah!
Biasanya yang berasumsi seperti ini adalah perusahaan-perusahaan kecil. Mereka berasumsi bahwa serangan keamanan siber itu hanya menarget perusahaan-perusahaan besar saja. Padahal kenyataannya para penjahat siber itu suka pada jalur-jalur yang paling lemah pertahanannya. Kalau Anda mengabaikan soal perlindungan keamanan siber anda, maka Anda akan terlihat seperti buah matang yang menggantung rendah sehingga mudah dipetik di mata para penjahat itu. Sungguh angat aneh sekali, kalau jaman sekarang masih ada perusahaan yang mengabaikan soal keamanan siber.
Pemikiran bahwa data anda tidak bernilai atau diminati oleh para peretas adalah cara pikir yang sangat berisiko. Sebuah serangan dapat juga mengarah pada pembajakan sumber daya, dimana para penyerang dapat menggunakan server-server Anda misalnya untuk menyimpan konten pornografi atau konten sensitif lainnya. Atau mungkin bisa juga menggunakan sumber daya komputasi server Anda untuk dikasih beban pemrosesan cryptocurrency.
[Baca juga: Ransomware Meningkat Tajam, Thanks to Bitcoin!]
Jadi sebaiknya berhentilah berfikir bahwa Anda tidak mungkin menjadi target serangan keamanan cyber.
Anda juga perlu tahu bahwa yang akan menyerang Anda itu tidak perlu sebuah gang penjahat cyber yang besar. Tapi bisa saja cukup seorang peretas pemula yang membeli atau menyewa tool canggih dari web gelap dan lalu menggunakannya tanpa harus dia paham bagaimana cara kerjanya. Waspadalah!
Kami kan Sudah Comply?!
Tentu merupakan sesuatu yang penting bagi perusahaan Anda untuk mematuhi (comply) dengan regulasi yang terkait dengan bisnis organisasi Anda. Seperti misalnya Anda wajib mematuhi GDPR jika berurusan dengan data-data warga Eropa. Anda wajib mematuhi peraturan OJK jika bergerak di usaha perbankan di Indonesia. Dan banyak industri lain yang juga punya sekumpulan aturan dan regulasi yang wajib diikuti untuk melindungi berbagai macam data dan layanan. Kegagalan dalam mematuhi regulasi-regulasi ini akan dapat berujung pada denda atau bentuk hukuman lainnya.
[Baca juga: Quo Vadis Perlindungan Data Pribadi di Indonesia]
Usaha untuk mematuhi aturan-aturan ini dapat mendorong perusahaan untuk menerapkan standar keamanan yang lebih baik dan komprehensif. Namun demikian tidak ada jaminan bahwa kalau sudah mematuhi aturan tersebut sepenuhnya maka Anda akan terbebas dari ancaman keamanan cyber. Kepatuhan jelas suatu yang baik, tapi jangan sampai terjebak dengan mempersamakannya dengan keamanan.
Juga penting untuk diingat bahwa kepatuhan bukanlah seperti ceklis yang dapat anda centang lalu lupakan. Tapi ia seharusnya merupakan komitmen untuk memenuhi standard tertentu yang harus selalu dimonitor dan dievaluasi secara terus menerus.
Banyak perusahaan yang mungkin karena merasa sudah membayar konsultan untuk mendampingi mereka dalam usaha pemenuhan kepatuhan tersebut lalu merasa tidak perlu lagi memikirkan soal keamanan lagi. Jelas pandangan seperti ini salah besar.
[Baca juga: Tata Kelola Keamanan Cyber]
Kami kan Sudah Melatih Para Staf Kami?!
Sebelumnya pernah dibahas disini mengenai bagaimana menyelenggarakan sebuah pelatihan awareness keamanan yang baik dan bagaimana kita mesti memantau para pengguna sistem TI kita begitu sistem diputuskan untuk operasional (Go Live). Tapi sayangnya program bagus ini sering dianggap sebagai sebuah cara instan yang sekali jadi. Padahal program pelatihan seperti ini mesti dilakukan secara reguler dan mengikuti perkembangan dinamika bisnis organisasi.
Kesalahan besar lainnya yang banyak dilakukan pada area ini adalah ketika mereka tidak melakukan pengujian apakah training yang telah diselenggarakan itu efektif atau tidak. Anda perlu menguji beberapa karyawan anda misalnya melalui email phising atau pesan media sosial tertentu dan kemudian amati bagaimana respon mereka terhadapnya. Hasil dari pengujian ini kemudian mesti ditindak-lanjuti dengan tindakan yang sesuai. Kalau gagal mungkin saja berarti perlu diulang pelatihannya. Tapi kalau gagal terus menerus mungkin perlu tindakan lain seperti hukuman kedisiplinan tertentu hingga pemecatan jika kasusnya cukup berat.
Anda tidak dapat menutup mata pada karyawan Anda yang berulang kali melanggar standard keamanan yang anda tetapkan. Ingat, bahwa kekuatan strategi keamanan Anda itu terletak pada titik terlemahnya. Dan hanya dibutuhkan kesalahan seorang karyawan saja untuk menggagalkan keseluruhan usaha Anda untuk melindungi keamanan organisasi Anda. Ya, satu orang sudah lebih dari cukup!
[Baca juga: SDM Security, Banyak Dicari, Langka Didapat]
Kami kan Sudah Dilindungi oleh Asuransi?!
Ini juga asumsi umum yang membuat orang merasa lebih aman dibanding seharusnya. Anda harus benar-benar hati-hati, karena area ini merupakan sesuatu domain yang baru. Sehingga mungkin baik yang menjual maupun yang membeli polis asuransi seperti ini sebenarnya tidak betul-betul memahami substansi perlindungannya. Sangat mungkin terjadi polis asuransi yang anda beli tidak mencakup suatu perlindungan keamanan yang Anda butuhkan.
Asuransi yang baik akan mendorong pemegangnya untuk menerapkan praktik-praktik yang baik untuk menekan risiko. Namun seringkali kedalamannya masih sangat dangkal. Misalnya sebuah polis asuransi menuntut Anda menggunakan firewall dalam sistem TI anda. Tapi ia tidak menentukan bagaimana seharusnya firewall tersebut dikonfigurasi. Padahal salah konfigurasi ini sering jadi jalan masuk yang mudah bagi para penyerang yang dapat membahayakan keseluruhan sistem organisasi.
Intinya, janganlah berasumsi bahwa Anda telah aman hanya karena Anda memegang polis asuransi penjamin keamanan anda. Okey?
Penutup
Empat hal diatas tentu bukanlah dimaksud mendaftar semua asumsi yang dapat membahayakan keamanan organisasi Anda. Tapi setidaknya empat asumsi salah diatas jelas harus diingat benar untuk menekan potensi risiko masuk ke lubang yang sama yang telah dimasuki oleh banyak orang sebelumnya.
Hal terpenting yang harus selalu diingat adalah bahwa pertahanan keamanan yang sukses menghadapi berbagai serangan membutuhkan komitmen dan usaha yang terus berlanjut dan berkesinambungan. Security itu adalah sebuah proses, bukan produk! [mti/cso]