Sebagai bagian dari korporasi global, Toyota Astra Motor bisa lebih tenang karena perusahaan induk yang berada di Jepang sudah menyiapkan panduan (guideline) terkait keamanan bahkan sebelum pandemi. Oleh karena itu, saat pandemi melanda, Darmadi dan timnya tinggal memastikan standar-standar dalam panduan tadi telah diimplementasikan dengan baik. “Kemudian dari guideline yang ada kami juga perkuat dengan pengamanan yang lebih mengarah pada endpoint atau klien,” Darmadi menambahkan.
Agar Adopsi Cloud dan API Lebih Aman
Dengan akselerasi transformasi digital ini, perusahaan dan organisasi pun harus menghadapi risiko-risiko yang berpotensi muncul dari adopsi teknologi atau lingkungan baru, misalnya saat perusahaan memindahkan infrastruktur, aplikasi, data, atau workload ke cloud. Bagi Bank Danamon, kepatuhan terhadap regulator masih menjadi pertimbangan mutlak dalam migrasi ke cloud.
Pertimbangan penting lainnya adalah memiliki visibilitas menyeluruh tentang ketahanan cloud provider. “Jangan sampai providernya belum mengadopsi security framework atau data security standard yang ada. Kemudian perangkat dan proteksi jaringannya seperti apa, dan yang tidak kalah pentingnya adalah identity security, ini harus kita managed,” jelas Wahyu, Sementara dari sisi internal, perusahaan juga harus secara cermat melakukan inventarisasi aset yang akan dipindahkan ke cloud, yang tentu saja dilakukan berdasarkan risk assessment.
Selain cloud, teknologi lain yang sudah masuk dalam agenda transformasi digital banyak perusahaan saat ini adalah API. Namun kehadiran API ini tentu saja memperluas attack surface dalam cyber security, karena serangan bisa masuk melalui API-nya sendiri, aplikasi, perusahaan, dan penggunanya.
Untuk mengadopsi API secara lebih aman, Laksana menyarankan perusahaan mengikuti protokol Payment Service Directives (PSD) 2. Salah satu aturan yang ditetapkan dalam PSD 2 adalah strong customer authentication, yaitu autentikasi berdasarkan dua atau lebih elemen. Kategori elemen tersebut adalah knowledge (sesuatu yang hanya user yang tahu, misalnya, password atau PIN); possession (sesuatu yang hanya user yang punya, seperti security token); dan inherence (sesuatu yang merupakan bagian dari user, misalnya biometric fingerprint atau voice recognition). Di samping itu, Laksana Budiwiyono menekankan pada pentingnya menanamkan awareness pada user.
Jangan Andalkan Kesadaran Manusia
Dalam rantai keamanan, manusia kerap menjadi mata rantai terlemah. Sehati-hati apapun, suatu saat pengguna bisa tergelincir dan melakukan kesalahan. Oleh karena itu awareness menjadi sangat penting dalam keamanan siber.
“Berbicara tentang people awareness ini memang agak unik. Kalau teknologi pasti ada patch-nya. Nah, kalau manusia, bagaimana nambalnya?,” ujar Aat Ruhimat. Di sisi lain, materi awareness yang harus disampaikan ke user semakin hari semakin banyak. Lima tahun lalu, tim IT security tidak perlu menyampaikan social media awareness dan WFH awareness. Namun hari ini, kesadaran tentang dua hal itu harus ditumbuhkan.
Aat Ruhimat menyarankan beberapa langkah yang dapat dilakukan tim TI untuk menumbuhkan awareness di kalangan pengguna.
Pertama, buat daftar prioritas perilaku atau awareness apa yang ingin ditingkatkan perusahaan. “Phishing bisa menjadi langkah awal yang bagus, atau secure coding, misalnya. Pilih materi awareness yang dapat menutup risiko terbesar,” anjur Aat.
Langkah kedua adalah menyusun program awareness berdasarkan prioritas tersebut dan sesuaikan program dengan target audience. “Gunakan cara-cara yang lebih engaging misalnya, gamification. Kita bisa bekerja sama dengan tim learning di perusahaan, atau misalnya bekerja sama dengan vendor untuk mengadakan kompetisi secure coding. Itu bisa jadi sarana awareness yang engaging,” ujar Aat.
Bagaimana cara menerapkan awareness di jajaran manajemen? Aat menyarankan tim TI secara rutin menggelar forum khusus dengan manajemen untuk menyampaikan kondisi perusahaan terkait keamanan siber, risiko, dampak dan langkah-langkah yang perlu dilakukan perusahaan.
“Setelah kita melakukan program-program awareness tadi yang penting kita lakukan setelah itu adalah mengukur awareness yang terbentuk. Misalnya, sebelum program, kita lakukan phishing test, ada 10 ribu orang yang kena. Setelah program, kita lakukan lagi phishing test dan harapannya jumah yang kena berkurang tentunya,” kata Aat.
Selain itu, Aat juga menyarankan agar perusahaan juga membantu karyawan mengamankan aktivitas pribadinya. “Jangan hanya fokus pada menjaga informasi perusahaan tapi kita juga bantu jaga data atau informasi pribadi karyawan,” ujar Aat.
Akhirnya, ia juga mengingatkan bahwa program awareness tidak bisa dilakukan sekali dua kali. Program ini harus dilakukan secara berulang-ulang dan terus dipantau sehingga membuahkan hasil.
Menurutnya, menanamkan awareness adalah “never ending battle” karena manusia adalah mata rantai terlemah dalam rantai sekuriti. “Contoh, kalau kita mengandalkan password untuk melindungi sistem pasti kita akan terus bertarung dengan yang namanya password awareness,” ujarnya. Oleh karena itu solusinya, menurut Aat, adalah menerapkan security by design pada sistem dan tidak mengandalkan awareness manusia.
Di sisi teknologi, Trend Micro menawarkan beberapa tool dan layanan keamanan, seperti phishing test, analisis, dan pelatihan phishing awareness; tool untuk cyber risk awareness; dan cybersecurity assessment.
“Kami bisa bantu banyak tapi tidak bisa selesaikan semua (persoalan), pasti kita juga harus kerja sama dengan pemain security lainnya,” ujar Laksana.