Dibenak pelaku IT Enterprise saat ini semua aspek kehidupan menggunakan teknologi informasi (TI) sebagai infrastruktur, baik prasarana maupun sarana untuk menunjang bisnis tidak mengherankan jika IT security pun banyak didengungkan oleh berbagai kalangan, tak terkecuali pelaku industri. Memang, ada yang serius tapi ada pula yang hanya sekedarnya saja.
Berikut ini, sepuluh mitos tentang IT security yang umumnya ada dibenak para pelaku TI diperusahaan. Kita akan melihat benar atau tidaknya mitos tersebut. Bisa jadi beberapa mitos masih tersisa karena sudah bertahun-tahun kita lakukan tanpa sadar.
Mitos 1:
Password rumit akan mengurangi risiko keamanan
Banyak karyawan di level piramida paling bawah tidak memahami password dan apakah itu akan mengurangi risiko keamanan.
Faktanya:
Password memang harus dibuat kokoh dan rumit. Makin rumit akan makin baik karena akan menyulitkan para cracker penjebolnya. Namun password serumit apapun akan dapat dijebol bila cara meng-input password telah di-seniff (direkam atau di intip) dengan modus ”maninthemidleattack” atau via keylogger. Kata kunci untuk mitos adalah tetap waspada, hati-hati, dan tidak sembarangan membuka situs web. Perhatikan situs web yang kita jalankan untuk melakukan transaksi perbankan via internet, karena bisa jadi situs tersebut palsu sehingga user akan tertipu.
Mitos 2:
Perusahaan memiliki keamanan fisik yang kokoh dan kita aman didalamnya
Perusahaan sudah berinvestasi untuk membuat perimeter keamanan atau yang disebut physical-security. Makin tinggi dan sulit perimeter, karya yang diamankan akan makin sulit disusupi penjahat. Penjagaan yang ketat, mempekerjakan banyak tenaga keamanan secara tersebar menambahkan perimeter, memasang peralatan cctv, memasang dor access card, dan sebagainya. Akan menambah kekuatan physical security dilingkungan enterprise.
Faktanya:
Celah keamanan (vulnerability) walau sedikit dapat dimanfaatkan oleh para penyusup untuk masuk ke area steril. Para penyusup berusaha keras dengan berbagai cara. Mereka mempelajari sistem keamanan yang dipakai oleh para desainer keamanan interprise. Kata kuncinya adalah waktu dan kesempatan. Sebaiknya para pelaksana keamanan terus waspada dan melakukan evaluasi terhadap perkembangan sistem keamanan seperti menambah sensor yang canggih sehingga sistem akan mengeluarkan tanda bahaya atau alert bila ada yang mencoba menyusup kedalam sistem.
Mitos 3:
Berpikir bahwa kita aman-aman saja di lingkungan enterprise ini
Banyak user dan karyawan disebuah perusahaan bergantung sepenuhya kepada sistem keamanan perusahaan. Ini menimbulkan anggapan “kita aman-aman saja kok dan mari lakukan pekerjaan hari ini”.
Faktanya:
Kompetitor dan cracker berusaha keras mencari celah keamanan untuk menerobos sistem keamanan. Tidak berhasil membobol hari ini mereka akan mengulangi aksinya esok hari. Tidak berhasil melakukannya esok hari, mereka akan melakukannya minggu depan dan seterusnya. Tidak ada kata aman seratus persen sehingga harus ada monitoringi, evaluasi, dan update. Tujuannya agar user akan selalu waspada terhadap kondisi keamanan terkini dilingkungan perusahaan.
Mitos 4:
Anggaran IT security perusahaan cukup sepuluh persen.
Jajaran management senior dan pengambil keputusan biasanya hanya mengalokasikan anggaran IT security rata-rata sebesar sepuluh persen dari anggaran keseluruhan departemen TI. Jumlah ini dianggap cukup untuk melakukan pertahanan keamanan informasi di dalam perusahaan.
Faktanya:
Kalau anggaran TI keseluruhan adalah Rp. 1 Milyar, dengan alokasi sepuluh persen saja, artinya anggaran untuk keamanan informasi perusahaan adalah sebesar Rp. 100 Juta. Namun, masalah utamanya bukan budget semata. Adalah penting melibatkan pimpinan bersam-sama menyadarai masalah keamanan informasi. Jadi mereka bukan hanya bisa marah bila sudah terjadi insiden keamanan, melainkan bersama-sama memikirkan sistem yang tepat.
Mitos 5:
Memakai anti virus gratis tetap aman
User dan jajaran manajemen sangat gemar mengunduh antivirus gratis dan mungkin mencari cracking code. Tujuannya agar menghemat pengeluaran dengan laptop dan PC kantor yang keseluruhannya berjumlah ribuan unit anggaran akan membengkak hanya membeli lisensi anti virus/ malware.
Faktanya:
Antivirus gratis atau hasil cracking tidak bekerja maksimal. Antivirus gratis mungkin dapat mencekal sejumlah virus tertentu saja, katakanlah 400 ribu virus di tabel virus list. Bila menggunakan anti virus berbayar, saat melakukan patching, server antivirus akan memberikan 1 juta virus patch list, jadi, kalau memakai antivirus gratis, bayangkan PC atau laptop akan terancam 600 ribu virus yang tidak terdeteksi.
Mitos 6:
Teman adalah orang baik
Teman dikantor dan dilingkungan maya sangat banyak dan beragam. Hal ini menimbulkan mitos, “teman-teman saya adalah orang baik dan benar”.
Faktanya:
Tidak semua orang atau teman adalah orang baik. Konsep dalam security adalah jangan percaya sepenuhnya kepada teman dan sistem keamanan. Teman dapat menjadi lawan bila sudah berhadapan dalam situasi bisnis. Teman di media sosial, teman sekolah, dan “nongkrong” dapat menjadi lawan yang mematikan bila tidak berhati-hati didalam mengelola informasi. Sebaiknya kita melakukan klasifikasi keamanan informasi, informasi mana yang boleh dibagi dan mana yang tidak. Dalam berteman, tetap memperhatikan unsur kehati-hatian. Ini karena informasi ada nilainya dan dapat menjadi uang di segala segi mitos.
Mitos 7:
Dengan BYOD, diperbolehkan membawa dan menggunakan perangkat pribadi ke kantor.
Beberapa perusahaan membolehkan karyawan dan jajaran manajemen membawa smartphone, laptop, camera, flashdisk¸atau hardisk eksternal milik pribadi ke kantor. Perusahaan berharap, karyawan menjadi lebih produktif karena menggunakan peralatan sendiri dan dapat membawa pulang pekerjaannya.
Faktanya:
BYOD atau Bring Your Own Device adalah sumber masalah di dunia IT security. Makin banyak perangkat di lingkungan perusahaan dan makin canggih perangkat, akan menjadi sumber vulnerability. Dengan ketersediaan hardisk eksternal berukuran 1 TB, atau menghubungkan smartphone dan kamera ke internet, tidak akan sulit memindahkan sejumlah besar data/informasi perusahaan tanpa diketahui siapa pun.
Mitos 8:
Ada kebijakan keamanan, bereslah masalah keamanan
Perusahaan bergedung megah pun belum tentu memiliki kebijakan IT security yang baik. Oleh karena itu bila ada perusahaan yang sudah memiliki kebijakan tersebut, boleh dikatakan seluruh user TI disana sadar sepenuhnya mengenai kebijakan IT security.
Faktanya:
Kebijakan IT security bukan satu-satunya faktor penentu. Ada banyak hal yang harus dilakukan setelah memiliki kebijakan tersebut. Perencanaan yang baik dan benar misalnya akan memperkuat kebijakan keamanan. Siklus sistem keamanan-perencanaan-implementasi-evaluasi-perawatan harus berjalan berkesinambungan dan tidak dilakukan salah satu saja. Seperti disebuah kapal celah sekecil apa pun bisa menjadi besar dan menjadi jalan masuk para penyusup keamanan. Taruhannya adalah berpindahnya informasi ke pihak lawan.
Mitos 9:
Pelanggaran kecil tidak mengganggu sistem yang besar
Perusahaan menolerir pengeluaran kebijakan IT security dengan dalih itu pelanggaran kecil dan ringan, tidak mengganggu sistem secara keseluruhan.
Faktanya:
Perusahaan besar maupun kecil seharusnya bersikap sama dalam melaksanakan kebijakan. Risiko yang mereka tanggung pun ada yang besar maupun kecil. Sikap toleran ini dapat dimanfaatkan oleh jajaran management senior atau menengah keatas dalam hal pelanggaran hukum. Tidak sedikit manager, baik junior maupun senior, terlibat berbagai kejahatan elektronik.
Mitos 10:
Membeli tools security akan menhindarkan kita dari segala masalah
Ada beberapa perusahaan yang membeli tools security berupa hardware maupun software untuk mengamankan informasi, dengan harapan segala masalah security akan sirna.
Faktanya:
Masalahnya bukan sekedar budget. Tanpa perencanaan dan pemetaan security yang jelas, membeli aneka perkakas (tools) security bisa menjadi langkah menyia-nyiakan anggaran yang telah dikeluarkan. Ujungnya adalah perusahaan harus merombak total seluruh peralatan yang terlanjur dibeli dan dipakai, memetakan kembali, sehingga akhirnya menjadi double asset (peralata lama tidak digunakan lagi) karena salah beli dan mungkin salah desain.
Memang banyak mitos berkembang diperusahaan. Mereka telah menyisihkan anggaran untuk membeli aneka peralatan IT security. Namun IT Management yang telah dibangun seringkali tidak didukung IT security yang baik proses “tambal sulam” disisi IT Management akan berdampak juga di iIT security. Seyogyanya, para decision maker mengambil keputusan yang bijak dan benar dalam mengimplementasi peralatan dan pemetaan IT security dengan begitu, enterprise akan menjadi lebih aman, baik dari sisi informasi, SDM, dan peralatan didalamnya.
IT Governance Indonesia menyediakan solusi pelatihan IT Security. Untuk melihat silabus training, silahkan klik topik training berikut:
- Training Penetration Testing
- Training IT Risk Management System Based On ISO 31000
- Training IT Disaster Recovery
- Training Business Continuity Plan (BCP) / Disaster Recovery Plan (DRP)
Sumber artikel: dapitagustian.blogspot.co.id
Sumber foto: betanews.com
