Saat kejahatan dan serangan siber kian merajalela di tengah maraknya digitalisasi, perusahaan dihadapkan pada tantangan kelangkaan talenta di bidang sekuriti. Bagaimana organisasi profesi, seperti ISACA, dapat memberikan solusi?
Pandemi memaksa banyak perusahaan dari berbagai industri untuk melakukan, bahkan mengakselerasi, transformasi digital. “Bahkan, kecepatan adopsi solusi IT meningkat hingga tujuh kali lipat,” ungkap President ISACA, Indonesia Chapter, Syahraki Syahrir. Namun seiring peralihan industri ke ranah digital, jumlah serangan siber juga meningkat.
Badan Siber dan Sandi Negara (BSSN) mengungkapkan bahwa sedikitnya 495 juta serangan siber terjadi di Indonesia pada 2020. Angka ini meningkat hampir dua kali lipat dibandingkan tahun sebelumnya karena pada tahun 2019, terjadi 290 juta serangan siber di Indonesia. Sementara di tahun 2019, persentase kenaikan jumlah serangan siber hanya sekitar 25% daripada tahun sebelumnya. Di tengah situasi seperti itu, ketika jumlah talenta yang berkompeten di bidang keamanan informasi tidak memadai, tentu sangat mengkhawatirkan.
Fakta itu setidaknya tergambar dari jumlah anggota ISACA di Indonesia yang baru mencapai kisaran 900 orang. ISACA sendiri merupakan organisasi profesi berskala global yang anggotanya terdiri dari para profesional di bidang keamanan TI, utamanya IT GRC (Governance, Risk Management, dan Compliance) dan cybersecurity.
“Di Singapura ada 3.000 member, Malaysia memiliki 1.200 member, dan di Filipina ada 1.000 member, bahkan lebih besar daripada kita!” ujar Syahraki membandingkan jumlah anggota ISACA di beberapa negara ASEAN.
Hal ini memperlihatkan betapa Indonesia ketinggalan dari negara-negara tetangga dalam hal talenta yang memiliki kompetensi di bidang IT GRC dan serta cybersecurity. “Itu yang menjadi concern kita,” pria yang akrab disapa Raki ini menegaskan.
Menurutnya, hal ini harus menjadi perhatian semua pihak mengingat maraknya transformasi teknologi di Indonesia saat ini. Berbagai survei mengungkapkan adanya tren peningkatan belanja teknologi oleh organisasi dan korporasi.
“Jangan lupa, belanja teknolog ini harus diiringi oleh pengelolaan yang baik, dan (berbicara tentang) pengelolaan yang baik berarti kita bicara tentang IT GRC dan information security yang baik juga,” Raki mengingatkan.
Permintaan Juga Perlu Ditingkatkan
Ketika ada isu kelangkaan sumber daya manusia, terutama di bidang teknologi, faktor yang kerap dituding jadi penyebabnya adalah kurangnya suplai. Pada kenyataannya suplai talenta yang berkompeten di bidang keamanan informasi di Indonesia memang belum mampu mencukupi permintaan yang ada. Namun Chief Advisory & Partner di Management Consulting Veda Praxis ini mengungkapkan tren yang lebih mengkhawatirkan.
“Kalau menurut pendapat saya, demand kita juga belum setinggi itu. Belum banyak perusahaan yang merasa membutuhkan (keamanan informasi), itu yang lebih berbahaya lagi, kan? Jadi persoalan di Indonesia sebenarnya bukan hanya soal memenuhi demand tapi juga bagaimana meningkatkan demand itu sendiri,” jelasnya.
Menjawab tantangan tersebut, ISACA melakukan berbagai upaya, seperti upaya meningkatkan kesadaran (awareness), menyediakan framework, dan menyelenggarakan sertifikasi.
“Kami selalu sampaikan bahwa untuk bisa mengelola (teknologi) ini dengan baik, kita butuh framework yang baik dan butuh orang yang kompeten untuk menjalankannya,” ujar pria yang juga menjadi Chief Advisory dan Partner di Management Consulting Veda Praxis ini.
Berbagai upaya ini dihadapkan pada tingkat kesadaran yang beragam dari organisasi di Indonesia. Bagi perusahaan yang masih dalam tahap “berjuang untuk hidup”, IT GRC dan cybersecurity mungkin belum menjadi prioritas.
“Oleh karena itu, kami tidak bicara begini, ‘untuk bisa aman, Anda harus bayar sistem yang sangat aman, atau sistem yang paling mahal dengan orang yang paling mahal yang bisa Anda bayar’,” jelas Raki.
Upaya peningkatan kesadaran ini dimulai dengan mengingatkan organisasi tentang risiko yang akan mereka hadapi bila terjadi serangan. “Pada saat kita bicara information security, yang paling bahaya adalah kita tidak sadar atau kita tidak tahu kita punya potensi kerugian berapa dari aset kita kalau tidak kita lakukan langkah-langkah pengamanan,” ujarnya.
Menggunakan analogi keamanan rumah, menurut Raki, ia tidak akan memulai dengan pertanyaan tentang asuransi, tapi dengan pertanyaan “apakah rumah kita perlu dikunci?".
“Rumah” kosong mungkin tidak perlu dikunci. “Tapi ketika rumah mulai diisi barang-barang, kita memerlukan kunci. Sekarang, berapa harga barangnya, berapa harga kuncinya? Kalau lebih mahal harga kunci (daripada harga barang), untuk apa kita pasang kunci?” jelas Raki seraya menambahkan bahwa keamanan informasi tidak berarti harus mahal.
Belakangan ini, diakui Raki, upaya meningkatkan awareness ini menjadi semakin mudah dari sebelumnya. Meski hal itu terjadi karena mulai maraknya kasus-kasus serangan siber sehingga banyak pihak mulai menaruh perhatian pada keamanan informasi.
Sepuluh tahun bicara soal keamanan informasi mungkin tidak akan digubris. “Tapi coba lihat saat ini, law firm sekarang giat sekali membicarakan keamanan data. hal ini tidak kita temui di tahun-tahun sebelumnya,“ kata Raki. Bidang-bidang lain yang, menurut Raki, juga mulai bangkit kesadarannya tentang keamanan informasi, seperti layanan kesehatan, transportasi, dan utiliti.
Kemajuan ini tentu menggembirakan bagi Raki dan ISACA, mengingat selama ini ISACA pun tidak selalu bisa menerapkan pendekatan langsung ke perusahaan atau organisasi karena keterbatasan tenaga.
ISACA lebih banyak melakukan pendekatan ke pihak-pihak yang dipandang dapat memberikan dampak lebih besar, misalnya ke forum BUMN.
“Sekarang, seperti kita ketahui, semua BUMN wajib mengimplementasikan IT Governance yang baik termasuk di dalamnya ada information security juga. Jadi BUMN di Indonesia aware, minimal itu harus diimplementasikan. Tentu saja, ini juga didorong oleh peraturan dari Kementerian BUMN,” jelas Raki.
Tiga Hal untuk Kuasai Ilmu Keamanan Informasi
Di sisi suplai, ISACA menjalin kerja sama, di antaranya dengan perguruan tinggi. Saat ini, ada sembilan perguruan tinggi di negeri ini yang berkolaborasi dengan ISACA Indonesia Chapter dalam upaya meningkatkan kompetensi di bidang keamanan informasi sejak dini: Universitas Binus, Universitas Telkom, ITB, Universitas Padjajaran, Universitas Kristen Satya Wacana, Universitas Atma Jaya Yogyakarta, Universitas Multimedia Nusantara, Universitas Parahyangan, dan Universitas Singaperbangsa Karawang.
Diakui Raki, ilmu dari bangku perguruan tinggi belum cukup memadai untuk menghadapi tantangan di dunia kerja karena information security cakupannya luas sekali dan ilmunya terus berkembang. “Tapi minimal lulusan universitas tahun basic ideanya, sehingga ketika masuk dunia kerja, mereka tidak mulai dari nol,” katanya.
Nah, untuk mereka yang memiliki keinginan mengembangkan karier di bidang keamanan informasi, selain memiliki dasar-dasar ilmunya, Raki menyarankan beberapa hal ini. Pertama, jadikan internet sebagai “teman baik” karena menurut Raki di sanalah kita bisa mendapatkan banyak ilmu, termasuk tentang keamanan informasi. “Yang kedua, asosiasi atau komunitas juga memainkan peran penting. Karena dengan ikut ke komunitas atau asosiasi, kita akan terupdate juga tentang current issue,” imbuh Raki
Selain itu, ISACA juga mendorong mahasiswa di bidang TI untuk mendapatkan sertifikasi di bidang keamanan informasi. Sertifikasi dibutuhkan, antara lain, karena dunia kerja membutuhkan proof of knowledge. Bukti ini juga dibutuhkan mengingat keamanan informasi adalah hal yang sensitif. “Sehingga dibutuhkan bukti bahwa kita benar-benar tahu caranya, dan membantu membuktikan kita menguasai area mana (dalam keamanan informasi),” jelas Raki.
Selain sebagai proof of knowledge, sertifikasi juga terkait dengan standardisasi dan etika. “Pekerjaan information security ini menurut saya sudah jadi profesi, kalau dia profesi maka harus ada standar etika, sama seperti dokter dan pengacara. Karena yang akan ditangani ketika sudah masuk dunia kerja adalah informasi yang sifatnya sensitif, kalau tidak punya etika yang benar akan berbahaya. (Dengan sertifikasi), minimal dia juga punya komitmen untuk bisa menjalankan etika dari profesi tersebut,” paparnya lagi.
Keamanan Informasi Bukan untuk Menghalangi
Indonesia memiliki keunggulan berupa populasi penduduk yang besar, tapi menghadapi kendala berupa kondisi geografis yang tersebar. Oleh karena itu, menurut Raki, salah satu solusinya adalah teknologi.
“Dengan teknologi yang baik, harusnya kesenjangan informasi bisa selesai, saya punya belief itu. Dan menurut saya, ketika kita bicara teknologi, kita tidak boleh bicara hanya kota-kota besar. Kita harus memikirkan bagaimana caranya agar orang yang ada di pelosok pun bisa mendapatkan manfaat dari teknologi yang pada akhirnya akan berpengaruh pada tingkat knowledge dan ekonomi,” jelasnya.
Peran ISACA adalah memastikan pemanfaatan dan perkembangan teknologi ini berjalan dengan aman. ISACA tidak hanya ingin Indonesia maju, memiliki infrastruktur teknologi yang andal, tapi juga mampu mengelola dan menjaga keamanan infrastruktur tersebut.
“Kami ingin memastikan bahwa orang-orang, sampai ke pelosok sekalipun, merasa aman dan nyaman, menggunakan sistem yang andal ketika misalnya memesan barang atau berjualan di marketplace,” ucap Raki.
Laju perkembangan teknologi yang sangat cepat ini bisa menakutkan jika tanpa “rem” berupa keamanan informasi. Syahraki Syahrir mengatakan bahwa rem ini bukan untuk menghentikan laju teknologi.
“Tapi rem ini akan membuat kita lebih percaya diri untuk jalan kencang. Tanpa ‘rem’, (akibatnya akan) mengerikan, karena (teknologi) bisa disalahgunakan,” tutupnya.