Bagi perusahaan/organisasi, memastikan keamanan dari seluruh data menjadi hal yang penting dilakukan lantaran di era digital seperti saat ini data merupakan aset berharga.
Seperti diketahui, data di perusahaan sendiri utamanya berisi informasi sensitif terkait bisnis maupun data para pelanggan/klien yang jika mengalami kebocoran tentu dapat membahayakan operasional perusahaan tersebut.
Pentingnya soal keamanan data ini dibahas saat sesi panel diskusi dengan tema “Secured Data Exchange and Protecting Customer Privacy” pada acara ICION (Indonesian CIO Network) 2020 yang digelar di Nusa Dua, Bali.
Dr. Pratama Persadha (Pakar Keamanan Siber dari CISSReC) yang menjadi salah satu pembicara mengatakan bahwa masih banyak perusahaan yang belum menyadari sejauh mana keamanan IT yang mereka miliki.
“Kita semua kini hidup di dunia cybersecurity. Kita pakai sistem yang hebat, firewall yang kuat, hingga kita gunakan berbagai macam honeypot. Tapi sebenarnya kita sadar tidak sih untuk mengamankan data kita? Kita merasa sistem kita sudah kuat tapi ternyata tidak,’ kata Pratama.
Menurutnya, hampir tidak ada satu sistem saat ini yang tidak bisa dihack (retas) oleh penjahat siber. “Dan celakanya ketika dihack datanya bisa diambil. Nah, ini yang terjadi dihampir semua perusahaan dan semua institusi pemerintahan di Indonesia,” cetus Pratama.
Terlebih, data privasi pelanggan juga menjadi sangat penting yang di mana jika terjadi kebocoran dapat mempengaruhi reputasi perusahaan di mata masyarakat.
Kebocoran data privasi pelanggan ini pun diungkapkan Pratama masih sering terjadi di perusahaan dan data dijual dengan murahnya oleh para pelaku kejahatan siber.
“Kenyataannya, untuk membeli data seperti nama, nomor rekening, isi rekening, nama ibu kandung, semuanya lengkap, satu orang itu dihargai berapa? Cuma seribu rupiah. Dan itu banyak dijual bebas. ini menjadi masalah kita bersama,” terang Pratama.
Menanggapi soal keamanan data privasi pengguna, Arief Rahardjo (CTO JNE) yang juga menjadi pembicara di sesi panel diskusi tersebut juga mengamini jika perlindungan data pelanggan itu sangat penting dan menjadi isu yang sensitif.
“Kebetulan kalau di kami menggunakan beberapa layer (untuk security) dan kami juga mempekerjakan tim IT security untuk menjamin data pelanggan,” ujar Arief.
Cara Meningkatkan Keamanan
Dalam diskusi panel tersebut, turut diungkapkan beberapa hal yang dapat dilakukan perusahaan untuk memastikan keamanan data yang dimiliki.
Menurut Pratama, ada tiga hal utama terkait hal ini. Yang pertama, yakni security awareness.
“Ini yang paling penting. Bagaimana pimpinan perusahaan itu bisa memiliki security awareness sehingga prioritas untuk mengamankan sistemnya itu adalah hal yang selalu dipikirkan sama dia. Percuma staf IT-nya kasih informasi "Wah, pak ini adalah kelemahan dan kita butuh (tools) ini pak" jika ternyata atasannya acuh saja dengan bilang "Ah, itu biasa aja", nah itu percuma,” tutur Pratama.
Yang kedua, menurutnya perusahaan harus mengimplementasikan sistem keamanan minimal yang sudah terstandarisasi.
Saat ini, sudah ada banyak framework standar seperti ISO27001 yang bisa diimplementasikan oleh perusahaan.
Yang ketiga, kehati-hatian dalam menggunakan tools juga menurut Pratama penting diperhatikan. “Karena bisa jadi tools itu ketika tidak kita patch atau update malah menjadi vulnerable buat sistem kita,” ujarnya.
Sementara itu, dalam kesempatan yang sama Hans Tanit (Country Manager Tenable Indonesia) mengatakan bahwa salah satu tindakan yang paling baik untuk keamanan data adalah memastikan aset (data) apa yang resikonya paling tinggi.
“Kita harus mengidentifikasi seluruh aset yang kemungkinan bisa terkena attack misalnya. Kalo kita sudah menemukan itu, berarti yang berikutnya kita harus melakukan assessment. Assessment itu untuk mengetahui kerentanan-kerentanan apa saja yang terjadi,” papar Hans.
Tak ketinggalan, Laksana Budiwiyono (Country Manager Trend Micro Indonesia) menambahkan jika ada beberapa hal lain yang bisa diterapkan perusahaan untuk menjamin keamanan datanya.
Di antaranya melakukan enkripsi data, backup, membatasi akses kontrol, dan mengikuti regulasi yang sudah diatur.
“Enkripsi salah satu metode yang penting dilakukan. Kemudian, backup yang artinya kita memproteksi data bukan pada saat data itu potensi rusak atau hilang. Terus jangan lupa juga untuk pilih-pilih terhadap data yang penting dan yang sudah tidak penting lagi. Lalu akses kontrol. ini untuk menentukan siapa yang berhak dan siapa yang tidak berhak (mengakses data),” ucap Laksana.
“Langkah lainnya, terus ikuti saja regulasi atau compliance yang ada. Kalau kita makin berusaha memenuhi persyaratan seperti PCI DSS, ISO, atau lainnya, itu kita akan mendekati ke sempurna (aman) sih," tambahnya.
Selain itu, Laksana juga menyarankan agar perusahaan untuk juga terus mengikuti perkembangan undang-undang terkait keamanan data yang kabarnya segera akan disahkan.
“Itu arahnya akan ke sana (mengikuti undang-undang). Mau kita menjauh dari sana, resikonya makin tinggi. Resiko nanti bisa adanya tuntutan. Istilahnya sudah jatuh tertimpa tangga. Jatuhnya kehilangan data jadi rugi sendiri di mana reputasi jadi jelek. Ketimpa tangganya itu berdampak ke finansial perusahaan,” pungkas Laksana.