Apakah ini indikasi bahwa perusahaan-perusahaan di Indonesia tidak melihat pentingnya aspek keamanan sistem informasinya? Jawaban dari pelaksana sistem informasi di perusahaan-perusahaan ini justru sebaliknya. 100% dari mereka menjawab dengan yakin bahwa pengamanan sistem informasi adalah hal yang penting. Tetapi, kenyataan sebenarnya mengatakan adanya ketidaksesuaian antara apa yang mereka sadari dan inginkan dengan pelaksanaannya.
Sayangnya, untuk melihat seberapa jauh pelaksanaan pengamanan sistem informasi semacam ini di Indonesia, sampai saat ini, menurut sepengetahuan penulis belum ada survey yang dilakukan.
Dalam tulisan ini, angka yang disajikan hanya semata-mata berdasarkan pengamatan penulis pada 56 perusahaan di Indonesia, baik secara langsung maupun tidak langsung dalam kurun waktu 2002-2003. Hampir semua perusahaan yang diamati ini adalah perusahaan menengah keatas dari sisi jumlah karyawan (di atas 500 orang) dan mempunyai koneksi ke Internet.
Selain itu, pengamatan yang dilakukan hanya pada logical security saja, tidak pada physical security. Angka yang disajikan dalam tulisan ini tidak mencerminkan dan tidak ditujukan untuk menggambarkan keadaan sistem pengamanan pada perusahaan-perusahaan di Indonesia secara keseluruhan. Tetapi, sekurang-kurangnya sajian ini dapat memberikan sedikit gambaran tentang tudingan lemahnya pengamanan sistem informasi di Indonesia.
Pengukuran pengamanan sistem informasi pada tulisan ini didasarkan pada tiga aspek, pertama, aspek yang berhubungan dengan information security governance, seperti ada tidaknya kebijakan, prosedur, dan standar pengamanan, ada tidaknya staf yang melakukan tugas rutin pengamanan, kontrol terhadap pelaksanaan pengamanan sistem informasi dalam bentuk audit.
Aspek kedua, yang dilihat adalah penggunaan teknologi pengamanan sistem informasi seperti kontrol akses, firewall, anti virus, sistem deteksi intrusi. Sedangkan aspek ketiga berhubungan dengan prosedur penanganan insiden keamanan. Pembatasan cakupan pada tulisan ini semata-mata dikarenakan keterbatasan informasi.
Information Security Governance
Dari 56 perusahaan yang diamati, hanya 4 perusahaan atau 7% saja (semuanya berasal dari industri keuangan dan telekomunikasi) yang mempunyai kebijakan dan prosedur keamanan secara tertulis, sedangkan sebagian besar tidak punya ataupun jika punya tidak lengkap dan tidak disertai prosedur yang mendukung. Hanya sekitar 11 % perusahaan yang mempunyai Chief of Security Officer (CSO) dan staf khusus bidang pengamanan. Sedang pada perusahaan lain tugas pengamanan umumnya dirangkap oleh staf yang mengurus jaringan.
Dalam program sosialisasi dan penyadaran (awareness) pengamanan sistem informasi, lebih dari 80% perusahaan tidak melakukannya. Beberapa perusahaan mengatakan telah menjalankan program sosialisasi dengan cara menyebarkan informasi pengamanan melalui e-mail, tetapi tanpa diuji apakah karyawan mengerti atau tidak. Penulis tidak memandang hal ini sebagai program sosialisasi dan penyadaran.
Kegiatan lainnya, seperti audit, masih jarang dilakukan oleh perusahaan-perusahaan, dan hanya sekitar 12% saja yang pernah melakukan audit sekuriti, dan semuanya berasal dari sektor keuangan dan telekomunikasi.
| "Dari 56 perusahaan yang diamati, hanya 4 perusahaan atau 7% saja (semuanya berasal dari industri keuangan dan telekomunikasi) yang mempunyai kebijakan dan prosedur keamanan secara tertulis." |
Produk teknologi pengamanan sistem informasi yang umumnya dipergunakan adalah firewall dan anti virus (di atas 90%). Sedang persentase teknologi sistem deteksi intrusi hanya sekitar 17%. Teknologi pengamanan lainnya, seperti token masih belum banyak digunakan dan diperkirakan di bawah 5%.
Dalam pemeliharaan teknologi pengamanan sistem informasi dalam bentuk product subscription atau annual technical support lebih dari 60% perusahaan tidak menganggarkannya. Kebanyakan dari mereka melakukan pembelian annual product/technical support hanya untuk tahun pertama saja, yang biasanya memang sudah termasuk pada saat pembelian produk. Hal ini menyebabkan banyak dari mereka yang tidak dapat melakukan upgrade sistem pengamanan pada tahun kedua dan tahun berikutnya karena tidak adanya dana yang dianggarkan untuk itu. Rata-rata total pengeluaran untuk pengadaan teknologi pengamanan sistem informasi pada pengamatan ini diperkirakan kurang dari 4% dari keseluruhan anggaran teknologi sistem informasi.
Prosedur Penanganan Insiden keamanan Sistem Informasi.
Prosedur penanganan insiden termasuk dalam kegiatan dengan prioritas rendah dalam pengamanan sistem informasi. Lebih dari 80% perusahaan tidak memiliki prosedur ini secara tertulis. Sehingga tidak heran untuk kasus virus yang dikemukakan di atas, waktu penanganan yang dibutuhkan sangat lama.Rendahnya persentase perusahaan yang memiliki prosedur penanganan insiden keamanan diperkirakan karena masih banyak perusahaan yang mempunyai paradigma bahwa pengamanan semata-mata hanya pada kegiatan preventif.
Kesimpulan Pengamatan
Efektivitas pelaksanaan pengamanan sistem informasi pada perusahaan-perusahaan yang diamati masih sangat rendah. Strategi (kalau boleh dikatakan strategi) pengamanan sistem informasi masih mengandalkan semata-mata pada teknologi dan khususnya pada tindakan preventif. Tidak adanya information security governance yang baik menjadi faktor dominan yang menyebabkan lemahnya pengamanan sistem informasi.
Selain itu, tidak adanya information security governance menyebabkan penggunaan teknologi tidak efektif dan menyebabkan peralatan pengamanan hanya menjadi pajangan. Begitu juga, tidak adanya information security governance juga menyebabkan pengelolaan pengamanan lebih bersifat “Ad Hoc” dan reaktif ; baru bertindak jika ada masalah.
Perlu juga disadari bahwa rendahnya tingkat pengamanan pada perusahaan di Indonesia tidak hanya berdampak pada perusahaan yang bersangkutan saja, melainkan dapat meluas menjadi persoalan negara. Sebagai contoh, beberapa bulan yang lalu Visa dan Mastercard memasukkan Indonesia sebagai negara nomor 2 dalam daftar negara asal kejahatan kartu kredit. Akibatnya, tidak hanya banyak kartu kredit dari Indonesia ditolak dalam bertransaksi, tetapi juga beberapa alamat IP (internet protocol) dari Indonesia diblok oleh ISP di luar negeri.
Peran Pemerintah
Menurut Organisation for Economic Co-operation and Development (OECD) dalam buku panduannya yang berjudul “Implementation Plan for the OECD Guidelines For The Security of Information Systems And Networks: Towards A Culture of Security”, pemerintah mempunyai peran yang penting dalam menanamkan kultur pengamanan sistem informasi yang komrehensif. Yakni, dengan mengambil inisiatif seperti membuat perundangan-undangan, penggunaan teknologi sistem informasi dan undang-undang tindak kejahatan teknologi informasi.
Insiatif lain yang dapat dilakukan adalah dengan membuat unit khusus berskala nasional dalam memerangi tindak kejahatan teknologi informasi dan mendirikan lembaga untuk penanganan insiden keamanan nasional, seperti Computer Emergency Response Team (CERT ).
Di Indonesia, insiatif-inisiatif tersebut sebenarnya sudah dilaksanakan oleh pemerintah maupun lembaga lainnya. Untuk undang-undang di bidang komunikasi dan teknologi informasi Universitas Indonesia telah menyusun RUU Pemanfaatan Teknologi Informasi. Sedang RUU Tindak Pidana di Bidang Teknologi Informasi juga telah disusun oleh tim dari Universitas Pajajaran Bandung. Untuk unit khusus penanganan tidak pidana teknologi informasi, pihak POLRI juga telah membuat unit Pidana Teknologi Informasi. Begitu pula untuk CERT, di Indonesia pun telah ada ID-CERT yang dicetuskan oleh Dr. Budi Rahardjo dari ITB.
| "Tidak adanya information security governance yang baik menjadi faktor dominan yang menyebabkan lemahnya pengamanan sistem informasi." |
Tiga serangkai ini, khususnya peraturan/UU dipercaya akan lebih mendorong perusahaan-perusahaan untuk mengadopsi strategi pengamanan sistem informasi yang lebih komprehensif. Pengamat dari Giga Information Group bahkan mengatakan bahwa tren pengamanan sistem informasi tahun 2003 di Amerika Serikat dititikberatkan pada upaya-upaya untuk memenuhi standar pengamanan yang telah ditetapkan oleh industri, seperti GLBA (The Gramm-Leach-Bliley Act) untuk industri keuangan, HIPAA (Health Insurance Portability and Accountability Act) untuk bidang kesehatan dan FSMA (Financial Services and Markets Act) untuk lembaga pemerintah.
Kondisi di Negara Lain
Jika dibandingkan hasil pengamatan penulis dengan kondisi pengamanan sistem informasi di Malaysia berdasarkan survey yang dilakukan National ICT Security Emergency Response Centre (NISER) tahun 2000, pengelolaan pengamanan sistem informasi di Malaysia mempunyai pola yang kurang lebih sama dengan perusahaan-perusahaan di Indonesia.
Umumnya, sebagaimana diungkapkan oleh R. Azrina R. Othman, salah seorang tim NISER, perusahaan-perusahaan di Malaysia masih memrioritaskan penggunaan teknologi ketimbang pelaksanaan information security governance yang baik, seperti pengembangan sumber daya manusia, pembuatan kebijaksanaan pengamanan, dukungan manajemen, dan pengawasan pelaksanaan pengamanan sistem informasi dalam bentuk audit.
Walaupun begitu, dari angka statistik diperkirakan kondisi pengamanan sistem informasi di Malaysia masih lebih baik ketimbang di Indonesia (angka statistik dari hasil pengamatan penulis masih lebih kecil dibanding angka statistik survey di Malaysia).
Selain itu dari segi hukum, Malaysia masih satu langkah didepan Indonesia, karena sudah ada dan sudah diberlakukannya undang-undang yang mengatur pengunaan teknologi informasi dan tindak kejahatan teknologi informasi.•
Tidak ada komentar:
Posting Komentar