Apakah Anda pernah mendengar kalimat seperti di atas? Mungkin klien, kolega, atau bahkan Anda sendiri yang mengatakannya?
Percaya atau tidak, pernyataan seperti itu dapat dikemukakan oleh pemilik sistem untuk meyakinkan bahwa sistem yang mereka miliki aman dan tidak membutuhkan perangkat keamanan atau bahkan sebuah pemeriksaan keamanan (security assessment).
Tidak sedikit individu/kelompok ketika mereka mengamankan infrastrukur hanya terfokus kepada teknologi saja, padahal aspek teknologi hanyalah salah satu aspek pendukung dalam meningkatkan keamanan informasi.
Dalam membangun infrastrukur berbasis keamanan informasi, sedikitnya ada tiga aspek yang harus diperhatikan.
Pada tulisan kali ini, saya akan mendeskripsikan tiga aspek yang dapat menjadi acuan dalam membangun infrastrukur berbasis keamanan informasi.
- Alam
Alam merupakan aspek yang harus diperhatikan dalam penempatan infrastrukur yang akan disimpan. Anda harus mempertimbangkan apakah infrastrukur Anda bebas dari kejadian alam. Kejadian alam dapat berupa bencana banjir, gempa bumi, tanah longsor, kebakaran dan lain sebagainya. Apakah infrastrukur Anda dapat bebas dari faktor-faktor bencana tersebut? Apabila tidak, maka Anda harus mempertimbangkan kembali penempatan infrastrukur Anda. - Lingkungan
Faktor lingkungan juga menjadi faktor pendukung dalam membangun infrastrukur berbasis keamanan informasi. Lingkungan dimana infrastrukur berada harus dipastikan sesuai dengan standar yang ada. Seperti, apakah suhu dalam ruangan cukup? Apakah kelistrikan cukup? Apakah ada backup kelistrikan apabila terjadi masalah pada listrik utama? Apakah di sekitar lingkungan tersebut terdapat benda-benda yang dapat membahayakan infrastrukur seperti kertas yang mudah terbakar? Apakah sistem pembersihan debu/kotoran berjalan dengan baik? Apakah terdapat sistem pemadam kebakaran? dan lain sebagainya. - Manusia
Aspek terakhir dalam tulisan ini adalah manusia. Berbicara mengenai manusia merupakan suatu hal yang tidak ada habisnya. Ini adalah isu yang paling krusial. Dua aspek di atas (alam dan lingkungan) cenderung lebih mudah untuk dilakukan karena mereka memiliki batasan dan implementasi yang jelas. Namun pada aspek ini, batasan dan implementasi sangat sulit untuk ditentukan. Aspek manusia menjadi faktor yang krusial dalam mendukung keamanan informasi. Di tangan manusia lah sistem dapat berjalan dengan baik atau buruk. Aspek manusia menceritakan mengenai kesadaran keamanan informasi yang dimilikinya. Seorang administrator yang memegang banyak akun akan dapat dengan mudah memberikan informasi apabila ia tidak sadar terhadap informasi yang ia miliki. Selain itu, aspek manusia juga dapat menjadikan peretasan, pencurian data, penipuan, untuk mendapatkan akses lebih ke sistem. Hal-hal seperti inilah yang membuat aspek ini tidak mudah untuk diterapkan.
Hal yang sia-sia apabila semua teknologi keamanan digunakan namun dalam diri manusia sendiri masih mengabaikan keamanan informasi (security awareness), tidak sadar terhadap informasi yang dimiliki – bagaimana risiko apabila informasi tersebut jatuh ke orang yang tidak bertanggung jawab bahkan tersiar ke publik, dan lain sebagainya.
Keamanan informasi itu harus end-to-end (ujung ke ujung) maksudnya adalah data yang keluar, di perjalanan, hingga sampai tujuan harus diamankan. Ini seperti analogi rantai. Rantai dapat digunakan karena semua komponen pendukungnya terbuat dari besi (awal, tengah, akhir). Apakah Anda akan menggunakan rantai apabila terbuat dari berbagai macam komponen? Seperti di awal terbuat dari serabut, di tengah terbuat dari plastik, dan di akhir terbuat dari besi. Saya pastikan Anda tidak akan menggunakan jenis rantai seperti itu untuk mengamankan aset Anda.
Begitu pula masalah Firewall. Anda tidak bisa hanya menggunakan berbagai tools aplikasi keamanan dengan mengabaikan aspek pendukung lainnya. Menggunakan Firewall, Intrusion Detection System (IDS), dan komponen lainnya tidaklah cukup untuk mengatasi masalah keamanan. Percaya atau tidak, tidak ada satupun dari komponen tersebut yang membuat Anda benar-benar aman. Jadi, ketika Anda membangun infrastrukur, sebaiknya tidak hanya memperhatikan sisi teknologi yang digunakan, melainkan aspek pendukung lainnya juga harus diperhatikan.
Semoga tulisan ini bermanfaat 🙂