keamanan informasi

MANAJEMEN-TI.COM — Begitu sebuah sistem informasi masuk ke mesin produksi, maka bersamaan dengannya perhatian terhadap keamanan informasi pun langsung meregang, karena ia akan segera menemui musuhnya yang paling berbahaya dan paling pasti, yaitu para penggunanya sendiri.

Umat manusia mungkin sudah berhasil menginjakkan kaki di bulan dan mengalahkan banyak penyakit-penyakit parah yang tidak terlihat, namun manusia ternyata belum dapat menjaga agar para pengguna tidak secara proaktif dan kadang tanpa disadari menghancurkan sebuah sistem informasi.

Mengapa begitu Sulit?

Departemen-departemen TI sebenarnya telah menyadari masalah ini sejak lama, dan kekhawatiran mereka terus meningkat tahun demi tahun sejalan, apalagi dengan semakin berdayanya Internet baik terkait fungsionalitasnya, peluang yang disediakannya maupun ancaman yang ditebarnya ke seluruh dunia, tidak peduli terhadap perusahaan kecil maupun besar, atau bahkan perusahaan rumahan. Banyak perusahaan memberikan pelatihan kesadaran keamanan informasi pada tiap harinya, namun hasilnya sering tidak sebaik yang diharapkan. Bahkan program-program training yang sangat intensif pun seringkali tidak membuahkan hasil yang mampu bertahan lama, sehingga permasalahan-permasalahan keamanan yang terkait dengan kebiasaan orang kembali menyerang hanya beberapa bulan setelah pelatihan selesai dilakukan. Mengapa demikian? Apakah para pengguna itu memang benar-benar tidak menyadari akan masalah-masalah yang mereka timbulkan?

Secara umum, para pengguna tidak menyadari banyak konsekuensi-konsekuensi bahaya akibat hanya salah melakukan klik mouse nya pada suatu link tertentu, atau pada tombol tertentu yang terdapat pada sistem informasi yang mereka gunakan. Seringkali, mereka tidak dapat disalahkan karena tidak mengetahui sesuatu yang memang belum ada yang memberi tahu mereka sebelumnya atau, jika sudah pernah diberi tahu, penjelasan yang diterimanya kurang komprehensif. Lalu, apa yang dapat dilakukan selain melatih para pengguna dalam hal masalah-masalah keamanan iniformasi? Tentu saja, latih mereka lebih baik lagi..:-)

Para ahli dan peneliti otak manusia telah membuktikan bahwa manusia cenderung mudah untuk terkacaukan pikirannya ketika mendengarkan pidato atau kuliah. Seringkali kita menjumpai para pengguna yang bukan orang teknis sulit memahami ketika informasi-informasi teknis dipresentasikan dengan cara yang murni teknis. Orang-orang IT itu sering menggunakan akronim-akronim dan istilah-istilah IT yang berdasarkan asumsinya telah diketahui oleh semua orang yang hidup di planet ini, padahal kenyataannya terminologi-terminologi tersebut hanya digunakan diantara para profesional IT saja. Pendek kata, para pengguna tidak dapat diharapkan untuk memahami atau mengingat apakah firewall itu jika tidak ada seorang profesional IT yang menjelaskan binatang apakah itu. Para pengguna rata-rata tidak dapat diharapkan untuk memahami terminologi-terminologi IT. Kenapa tidak? Karena seluruh hal berbau teknis bagi mereka membosankan.

 

Ya, Membosankan!

Para pengguna IT perlu familiar dengan fitur-fitur sistem yang diperlukan untuk melakukan pekerjaan-pekerjaannya, tapi mereka tidak perlu tahu lebih dari itu. Sangat sering kebanyakan dari mereka tidak memiliki kompetensi teknis yang dibutuhkan untuk memahami lebih dari itu. Jadi mengapa kita berharap kepada mereka untuk memahami jargon-jargon teknis?

Dengan menerima fakta bahwa IT seringkali tidak berbicara pada para penggunanya dengan cara yang dapat dipahami oleh mereka, maka bagaimana seharusnya IT berbicara pada para pengguna ketika melatih mereka tentang keamanan informasi?

[Baca juga: Waspadai Serangan Terhadap Email Bisnis Anda]

Gunakan Emosi

Ya, emosi adalah kuncinya. Penelitihan dari banyak universitas di seluruh dunia, seperti misalnya yang dilakukan oleh Stanford University (Kalifornia, AS), menunjukkan bahwa emosi adalah kunci dalam pengambilan keputusan pada manusia, dan “to click or not to click” adalah sebuah keputusan yang sering diambil oleh pengguna dalam pekerjaannya sehari-hari. Setiap klik pada mouse adalah sebuah keputusan yang dapat memicu, misalnya, terdownloadnya sebuah virus pada komputer/piranti anda atau terungkapnya informasi yang rahasia. Penting untuk dimengerti bagaimana otak manusia membuat keputusan-keputusan untuk membantu para pengguna menghindari klik-klik yang tidak jelas dan berbahaya pada mouse dan keyboard mereka.

Otak manusia adalah alat bantu paling kuno yang tersedia di dunia modern, dan ia masih bekerja dengan pola yang sama yang memungkinkan kita semua untuk berevolusi dari seekor binatang yang bekerja keras menghindar dari terkaman macan menjadi sebuah mesin biologis canggih yang dapat mengubah dunia dengan cara yang tidak mungkin terbayangkan oleh spesies hidup manapun.

Penelitian pada pasien-pasien dengan kerusakan otak yang parah selama lebih dari 150 tahun, mulai dengan insiden Phineas Gage yang terkenal itu di 1848, telah memungkinkan bagi para ilmuwan untuk secara jelas mengidentifikasi hubungan antara ketidakmungkinan untuk membuat keputusan dan kerusakan otak pada korteks prefrontal (PFC), yaitu area pada otak dimana emosi diciptakan dan dirasakan. PFC adalah bagian anterior lobus otak depan, terletak di depan area motorik dan premotorik. Wilayah otak yang ini terlibat dalam perencanaan perilaku-perilaku kognitif yang kompleks, ekspresi kepribadian, pengambilan keputusan dan moderasi keputusan sosial yang benar. Aktifitas dasar dari wilayah ini diperkirakan adalah orkestrasi pemikiran-pemikiran dan aksi-aksi dalam rangka untuk mencapai sasaran-sasaran internal.

Untuk menyingkat cerita, ketika sebuah pilihan atau keputusan perlu diambil (seperti pilihan untuk mengklik atau tidak mengklik), otak manusia membuat sebuah kalkulasi cepat keuntungan yang dapat diperoleh dalam hal jumlah dopamine yang berpotensi didapat pada lobus frontal. Semakin banyak dopamine diharapkan sebagai akibat dari pemilihan sebuah opsi, maka kemungkinan besar opsi itulah yang akan dipiliha. Tapi, apakah dopamine itu?

Dopamine adalah sebuah neuro-transmitter (zat yang menyampaikan pesan dari syaraf satu ke syaraf lainnya) dengan banyak fungsi, termasuk peran penting dalam perilaku dan pengetahuan, gerakan sukarela, motivasi, hukuman dan penghargaan, penghambatan produksi prolactin (terdapat pada laktase dan kepuasan seksual), tidur, mood, perhatian, memori kerja, dan pembelajaran. Semakin banyak dopamine dalam otak, maka semakin baik yang dirasakan oleh orang tersebut; oleh karena itu otak akan memiliki opsi yang lebih banyak memproduksi dopamine dibanding opsi-opsi lainnya yang tersedia.

Tapi, kalkulasi seperti apa yang dilakukan oleh otak untuk sampai pada sebuah keputusan? Sebab pastinya belum diketahui, tapi sepertinya otak menggunakan memorinya untuk mengingat situasi dan keputusan yang pernah ada sebelumnya dan mirip dengan kondisi saat ini, otak kiri dan wilayah-wilayah lainnya akan menghitung implikasi-implikasi potensial yang mungkin dihasilkan, dan emosi untuk menangkap seberapa baik respon terhadap hasil/implikasi tadi yang mungkin didapat. Begitu kalkulasi selesai dilakukan, maka pilihan pun sudah diambil dan pada beberapa kasus hasilnya bisa saja membahayakan.

Dengan memerhatikan pada pola diatas, mudah untuk memahami dari mana sebenarnya permasalahan keamanan itu datang. Seseorang dapat membayangkan bagaimana sebuah email yang memberikan informasi mengenai website porno yang gratis, gambar-gambar dan pesan yang indah, atau jumlah hadiah uang yang sangat besar, atau diskon besar-besaran untuk produk-produk/jasa yang normalnya mahal harganya dapat menghasilkan tingkat dopamine yang tinggi, khususnya jika jika seseorang tidak dapat melihat bagaimana sesuatu dapat berdampak pada keamanan sistem informasi.

Tentu saja para pengguna tidak perlu memiliki keahlian khusus untuk memahami konten dari sebuah pesan email, tapi mereka perlu informasi lebih jauh mengenai bagaimana mendeteksi apa yang ada di balik pesan tersebut dan bagaimana mengambil keputusan yang aman. Apa yang dapat dilakukan untuk memicu emosi yang dibutuhkan untuk mengambil keputusan yang aman?

Nantikan kelanjutannya pada di rubrik manajemen-ti ini. [manajemen-ti]

[sumber artikel: Carlo Rossi, CISA, CISM, CGEIT, ISO 27001 LA, “To click or Not to click, That is the Question”, ISACA Journal, Volume 8/2012]