 Menurut
survei IDC (International Data Corporation) tahun 2003,
tantangan utama manajemen dalam masalah keamanan sistem
informasi adalah kurangnya sumber daya manusia (36%),
disusul monitoring (19%), tidak adanya kebijakan dan
prosedur (17%) serta integrasi antar solusi teknologi
keamanan sistem informasi (12%). Walaupun survei ini
tidak dilakukan di Indonesia, tetapi masalah yang dihadapi
perusahaan-perusahaan di Indonesia, terutama perusahaan
besar, kurang lebih sama. Kecuali, mungkin, menurut
pandangan penulis, tidak adanya kebijakan dan prosedur,
menempati urutan kedua di Indonesia.
Kurangnya sumber daya manusia, baik dari segi kuantitas
maupun kualitas, akan sangat berpengaruh terhadap pelaksanaan
pengamanan sistem informasi. Hal ini juga penulis temui
pada beberapa perusahaan dengan jumlah karyawan pemakai
komputer lebih dari 500, tetapi hanya mempunyai satu
orang yang bertanggung jawab dalam hal keamanan sistem
informasi. Bahkan, ada yang merangkap sebagai administrator
jaringan.
Masalah keamanan sistem informasi yang dihadapi
Beberapa masalah keamanan sistem informasi yang biasa
dijumpai pada perusahaan-perusahaan besar adalah
:
1. Penggunaan perangkat lunak yang bervariasi dan berasal
dari banyak vendor.
Sering tidak dapat dielakkan penggunaan sejumlah perangkat lunak dari beberapa
vendor untuk membangun suatu sistem. Tetapi, di sisi lain, penggunaan perangkat
lunak tersebut akan lebih membutuhkan waktu dan tenaga yang lebih besar dalam
hal memonitor isu-isu keamanan, ketimbang sistem yang dibangun oleh perangkat
lunak yang relatif homogen. Seringkali hal ini diperparah dengan tidak adanya
suatu standar dan prosedur dalam pemilihan suatu sistem.
Penulis menjumpai suatu perusahaan yang cukup besar yang ‘membebaskan’ karyawannya
untuk ‘memilih’ sistem operasi dan aplikasi yang digunakan pada
PC-nya. Pada satu departemen saja, ada beberapa sistem operasi yang digunakan
seperti Windows ME, Windows XP, dan Windows 200 Professional. Sedang untuk
program e-mailnya ada yang menggunakan Outlook, Eudora, Netscape; belum lagi
aplikasi lain yang lebih bervariasi.
2. Identitas pengguna.
Salah satu tujuan dari sistem keamanan adalah memastikan hanya orang yang berhak
saja yang dapat akses ke suatu sistem. Untuk suatu perusahaan yang terdiri
atas ratusan bahkan ribuan karyawan, serta memiliki beberapa sistem, maka tugas
ini bukan tugas yang mudah. Tantangan pertama adalah memetakan otoritas karyawan
terhadap sumber-sumber (resources) sistem informasi seperti server, file, database,
aplikasi dan sebagainya. Katakan saja ada 1000 karyawan yang akan mengakses
10 aplikasi/files/database, maka akan ada 10.000 relasi yang harus dipetakan
antara karyawan dan sumber sistem informasi tersebut.
Kedua, jika ada perubahan, seperti pindahnya karyawan dari suatu bagian ke
bagian lain, atau jika ada karyawan yang keluar. Tentunya sistem tersebut harus
dapat dengan cepat memodifikasi atau menghapus akses yang diberikan. Kerumitan
ini akan lebih besar lagi jika sumber-sumber sistem informasi yang dimiliki
perusahaan, tidak hanya diakses oleh karyawan internal, melainkan juga para
vendor, mitra kerja, dan konsultan, baik dari dalam jaringan perusahaan maupun
dari luar.
3. Deteksi dan proteksi secara cepat.
Mendeteksi gangguan keamanan untuk jaringan yang terdiri atas puluhan server,
puluhan peralatan jaringan, dan ratusan bahkan ribuan PC merupakan tugas yang
tidak dapat dianggap enteng. Selain perlu waktu dan sumber daya manusia, keahlian
khusus dalam hal keamanan sistem informasi sangat diperlukan untuk mengidentifikasi
dan menginterpretasi informasi gangguan secara akurat, serta untuk menetapkan
langkah-langkah penanggulangannya secara cepat dan tepat.
Beberapa waktu lalu penulis mendapat telepon dari pelanggan yang mengeluh tentang
Syn-Flood attack alert yang dihasilkan dari mesin Firewall-nya. Yang mengejutkan,
pelanggan tersebut bukannya menanyakan apa arti dari alert itu dan bagaimanan
cara penanggulangannya, tetapi justru menanyakan bagaimana caranya supaya alert
tersebut tidak muncul agar tidak memenuhi harddisk.
4. Security Patch.
Dengan rasio antara jumlah tenaga administrator/teknisi keamanan sistem informasi
dengan jumlah pengguna komputer sebesar 1:500 seperti kasus di atas, akan mudah
ditebak bahwa pengamanan sistem informasi menjadi tidak efektif. Sebagai gambaran,
waktu yang dibutuhkan seorang teknisi untuk melakukan security patching (instalasi
program perbaikan yang berkaitan dengan keamanan suatu sistem) terhadap 500
pengguna komputer adalah lebih dari 30 hari kerja (dengan perhitungan 1 hari
terdiri atas 8 jam kerja). Arah Perkembangan Teknologi Keamanan Sistem Informasi
Agaknya, vendor teknologi keamanan sistem informasi
cukup jeli melihat peluang dari kecemasan yang dihadapi
kalangan perusahaan. Pada umumnya , jingle yang mereka
gunakan adalah automatic, dan less human intervention,
sebagai solusi terhadap kekurangan tenaga keamanan
sistem informasi yang handal. Berikut ini, teknologi
keamanan sistem informasi (yang relatif) baru, yang
diperkirakan akan marak ditawarkan ke pasar, selain
tentunya produk dan teknologi lama yang tetap akan
bertahan seperti anti virus.
Intrusion Prevention
System (IPS)
Secara singkat, IPS dapat dijelaskan sebagai perangkat
yang memadukan antara fungsi Firewall (analoginya adalah
satpam) dan sistem deteksi intrusi atau IDS (analoginya
adalah kamera pemindai/CCTV). Beberapa vendor juga
mengintegrasikan fitur anti virus atau anti worm ke
dalam IPS-nya. Teknologi ini menjadi hangat belakangan
ini, karena menjanjikan fungsi deteksi dan proteksi
yang dapat dilakukan secara bersamaan dan otomatis.
Sehingga suatu intrusi dapat dicegah di awal, sebelum
menyebabkan kerusakan sistem. Beberapa vendor terkenal
seperti Cisco, Symantec, Check Point, ISS, Netscreen
(sekarang diambil alih oleh Juniper) juga telah menawarkan
teknologi ini.
Patch Management System
Mengurangi waktu dari puluhan hari menjadi beberapa
jam saja dalam melakukan instalasi patch merupakan
ROI yang sangat menjanjikan. Sehingga tidak heran
beberapa vendor mulai menawarkan teknolgi patch management
system seperti Security ConfigureSoft , St. Bernard
Software, PatchLink dan Citadel.
Identity Management
Manajemen identitas adalah suatu sistem tersentral
yang dibuat untuk memudahkan administrator untuk
men-diseminasi identitas, password dan otoritas seorang
karyawan ke beberapa sistem secara sekaligus. Dengan
teknologi ini jelas akan memudahkan bagian personel/HR
atau bagian lain dalam pemberian akses, modifikasi
akses maupun penghapusan akses kepada karyawan secara
langsung, tanpa atau sedikit melibatkan administrator
TI dalam pengoperasiannya. Beberapa produk Identity
Management juga mempunyai fungsi deteksi apabila
seorang karyawan memiliki otoritas melebihi yang
telah ditetapkan, seperti misalnya karyawan tersebut
bersekongkol dengan administrator TI untuk mengubah
otoritasnya secara manual.
Selain itu, fungsi pelaporan secara otomatis ataupun
manual pada teknologi ini akan memudahkan setiap kepala
bagian/manajer untuk mengevaluasi tingkat otoritas/akses
seorang karyawan terhadap sistem yang dimilikinya atau
dalam tanggung jawabnya.
Janji VS Kenyataan
Fitur-fitur yang diberikan dan dijanjikan oleh teknologi
baru tersebut biasanya begitu memikat, dan sering
diiringi dengan slogan ‘solusi tunggal’ terhadap
permasalahan keamanan yang dihadapi perusahaan. Tentunya
sebagai pengguna atau calon pengguna yang bijaksana,
kita tidak boleh menelan bulat-bulat fitur-fitur
yang dijanjikan oleh para vendor tersebut. Umumnya
keterbatasan-keterbatasan fitur yang dijanjikan dan
persyaratan-persyaratan agar suatu fitur yang dijanjikan
dapat bekerja dengan semestinya, tidak disebutkan
dalam brosur, tetapi baru terlihat pada dokumentasi
user manual-nya atau release notes-nya.
Oleh karena itu, usahakan untuk mendapatkan spesifikasi
teknis dan siapkan chek list untuk memastikan kompatibilitas
dengan sistem yang telah ada. Dan kalau memungkinkan,
dapatkan referensi dari perusahaan lain yang telah
menerapkannya. Atau jika ini merupakan teknologi baru
yang belum ada referensinya di Indonesia, kita dapat
meminta vendor mendemonstrasikannya.
Selain itu kita perlu hati-hati dengan produk yang
menjanjikan 100% otomatis, atau 100% no-human intervention,
karena produk tersebut hanya akan benar-benar 100%
otomatis dan 100% no-human intervention kalau kita
tidak memakainya.
Agus Pracoyo • channel manager /
security consultant pada
PT. Indokom Primanusa dengan alamat
e-mail: pracoyo@ipnsecurity.com
Foto-foto: dok. ebizzasia
|
