 Judul tulisan ini memang terinspirasi dari film “Novel tanpa huruf R”. Tetapi, tulisan ini tidak membahas mengenai film tersebut dan, bahkan, tidak ada sangkut-pautnya sama sekali. Tulisan ini lebih merupakan kumpulan tulisan yang sebelumnya pernah dimuat di majalah ini, dan dirangkum dalam format PDCA.
Plan-Do-Check-Act atau PDCA adalah suatu proses yang sangat dikenal di kalangan orang-orang yang berkecimpung dalam manajemen mutu. ISO pun mengisyaratkan perusahaan untuk melakukan PDCA sebelum layak mendapatkan sertifikat ISO 9000 (ISO untuk sistem manajemen mutu) dan juga sertifikat ISO yang lainnya.
Keuntungan bertransaki dengan perusahaan yang telah meraih ISO 9000 adalah konsistensi mutu produk. Kalau produk yang kita beli dari perusahaan tersebut bentuknya bulat, diameternya 5 cm maka kita percaya besok, minggu depan atau di masa datang kita akan mendapat bentuk dan ukuran yang sama, dan tidak menjadi bulat lonjong atau diameternya berubah menjadi 51/4 cm.
Begitu pula manajemen mutu dalam keamanan sistem informasi. Tujuan utamanya adalah konsistensi dalam segala kegiatan pengamanan sistem informasi. Menurut pengamatan penulis, pelaksanaan manajemen sistem keamanan sistem informasi di Indonesia masih bertumpu pada fase pelaksanaan (Do) saja dan kurang atau tidak memperhatikan fase perencanan (Plan), fase pengecekan (Check), dan fase perbaikan (Action).
Sehingga, kalau merujuk pada proses PDCA di atas, sistem manajemen keamanan di banyak perusahaan di Indonesia adalah PDCA tanpa PCA.
DO IT = DUIT
Kata kerja “DO” jika dirangkai dengan IT (information technology) terjemahan kasarnya berarti “gunakan IT”. Tapi DO IT sering diplesetkan, terutama oleh kalangan non IT menjadi DUIT (uang), yang maksudnya tidak lain membuang-buang uang. Hal seperti ini yang pernah dikeluhkan seorang manajer yang merasa telah mengeluarkan banyak uang untuk pembelian teknologi pengamanan sistem informasi, tetapi hasilnya kurang menggembirakan.
Yang lebih mengkawatirkan lagi bahwa fase “Do” hanya diterjemahkan semata-mata sebagai penggunaan teknologi saja, tetapi lupa pada kontrol keamanan lainnya, seperti penerapan kebijakan (policy) dan prosedur, serta awareness. Penanganan terhadap worm Sasser yang mewabah baru-baru ini adalah salah satu contohnya. Tindakan dari beberapa perusahaan yang saya amati adalah langsung mengimplementasi patch yang diberikan oleh vendor tanpa melalui prosedur pemeriksaan dan pengujian untuk mengetahui dampak instalasi patch tersebut terhadap aplikasi lainnya.
Perencanaan (Plan)
Tidak adanya perencanaan seringkali disembunyikan dibalik alasan “keterbatasan waktu”.
Perencanaan, dalam manajemen keamanan sistem informasi, berarti melakukan analisis risiko gangguan keamanan sistem informasi terhadap jalannya bisnis perusahaan. Selanjutnya, hasil analisis tadi dijadikan patokan untuk menetapkan bentuk kontrol keamanan yang tepat dalam rangka mengurangi risiko tersebut. (Salah satu pendekatan dalam melakukan analisis risiko ini pernah diulas eBizzAsia edisi Desember 2003).
Hasil dari tahap perencanaan ini, dalam BS 7799 dikenal dengan istilah statement of applicability (SOA) yang merupakan pernyataan dari perusahaan mengenai kontrol-kontrol yang perlu dilaksanakan perusahan dalam rangka mengurangi risiko keamanan sistem informasi (informasi tentang BS 7799 pernah diulas eBizzAsia edisi Desember 2002).
Jadi, hasil dari perencanaan adalah suatu landasan (baseline) bagi pihak-pihak yang berkepentingan dalam mengimplementasikan, mengawasi, dan melakukan perbaikan kontrol keamanan sistem informasi perusahaan.
Teknologi
Kontrol perlu diterjemahkan secara lebih luas, tidak hanya terbatas pada teknologi saja, tetapi juga termasuk kebijakan, prosedur, panduan, awareness, dan menyiapkan orang-orang yang mampu melaksanakan pengamanan sistem informasi. Teknologi diperkirakan hanya membantu 15%-20% dari keseluruhan sistem keamanan. Teknologi seharusnya digunakan dalam rangka mempermudah, mempercepat dan menegakkan kebijakan.
Misalkan manajemen perusahaan telah sepakat untuk membatasi akses Internet hanya bagi keperluan yang menunjang operasi perusahaan. Maka, suatu kebijakan yang semata-mata mengharapkan kesadaran dari karyawan untuk tidak mengakses situs-situs yang dilarang, akan sulit diterapkan dan ditegakkan. Dalam contoh ini, teknologi seperti URL filtering akan sangat berguna dan menunjang penegakan kebijakan perusahaan tersebut. Begitu pula, teknologi patch management, akan mempermudah administrator untuk mengimplementasikan patch secara tersentral dan akan menghemat banyak waktu ketimbang harus mengunjungi satu-persatu PC.
Pelaksanaan (DO)
Ada beberapa isu dalam pelaksanaan kontrol pengamanan sistem informasi. Pertama, tidak adanya prosedur kerja. Bagi sebagian engineer, prosedur mungkin akan dianggap menghambat kebebasan ‘berkreasi' dan menghalangi ditemukannya jalan alternatif yang lebih baik. Tapi perlu diingat, tujuan dari prosedur adalah konsistensi.
Kedua, tidak adanya dokumentasi yang seharusnya dibuat teknisi/engineer setelah melakukan instalasi. Akibatnya, informasi tentang konfigurasi suatu perangkat tergantung pada ingatan teknisi/engineer. Tidak heran jika teknisi/engineer sering diberi julukan dokumen berjalan. Ketidaktersediaan dokumentasi biasanya baru disadari menimbulkan masalah ketika teknisi/ engineer tersebut sakit atau keluar.
Ada satu contoh berharga dari suatu perusahaan yang patut ditiru dalam menghadapi urusan dokumentasi. Perusahaan tersebut mengharuskan setiap engineer-nya untuk membuat dokumentasi tentang apa-apa saja yang akan dikerjakannya sebelum melakukan instalasi.
Ketiga, adanya kesalahkaprahan yang mengangap pelaksanaan keamanan sistem informasi hanyalah tugas divisi TI semata.
Keempat, tidak siapnya SDM dalam melaksanakan pengamanan sistem informasi dan kurang disosialisasikannya kebijakan, dan prosedur keamanan sistem informasi perusahaan (lihat ulasan SDM dalam sistem keamanan informasi pada eBizzAsia edisi April 2003).
Isu lainnya adalah kegiatan pengamanan berpusat pada usaha-usaha pencegahan tanpa atau kurang memperhatikan usaha-usaha pengawasan dan diteksi. Contoh nyata mengenai hal ini adalah tidak adanya catatan log pada perangkat sistem keamanan (lihat eBizzAsia edisi Juni dan Juli 2003).
Cek dan Perbaikan (Check-Act)
Fase pengecekan adalah tugas yang biasanya dilakukan oleh auditor, baik internal maupun eksternal, untuk membandingkan keadaan sebenarnya dengan baseline yang ditetapkan pada tahap perencanaan. Kegiatan lain fase ini ialah mengevaluasi keefektifan dan keefisienan kontrol keamanan dalam mengurangi risiko. Hasil pengecekan ini akan menjadi input bagi perbaikan penerapan kontrol keamanan yang ada, modifikasi maupun penambahan kontrol, yang diperlukan guna lebih memperkecil risiko.
Kegiatan yang penting ini, sayangnya, tidak dipandang sebelah mata oleh beberapa perusahaan. Hanya beberapa perusahaan saja yang saya amati melakukan aktivitas ini, terutama perusahaan-perusahaan sektor finansial dan telekomunikasi. (mengenai audit TI baca eBizzAsia edisi Juni 2004).
PDCA adalah proses yang kontinu
Dalam PDCA ada rekomendasi yang berbunyi “3 langkah untuk perencanaan, 1 langkah untuk pelaksanaan”. Rekomendasi ini sering disalah artikan dan diterjemahkan secara harafiah sebagai “waktu yang dibutuhkan untuk perencanaan 3 kali lebih lama dibanding pelaksanaan”. Akibatnya, orang sering menganggap kegiatan perencanaan adalah kegiatan yang membuang-buang waktu dan tidak pragmatis. Untuk mengurangi kesalah pahaman ini, lebih tepat jika rekomendasi ini dibaca sebagai “Jika Anda telah memilih suatu rencana, pikirkan sekali lagi dan sekali lagi agar dalam pelaksanaanya tidak perlu dua kali”.
Secara implicit, dalam kaitannya dengan pemilihan kontrol pengamanan, rekomendasi ini meminta kita untuk menetapkan bentuk kontrol yang benar-benar realistis dan benar-benar akan mampu diterapkan. Pemilihan kontrol yang realistis, dengan memasukkan kegiatan evaluasi dan perbaikan secara terus menerus, akan jauh lebih baik. Juga, akan menghasilkan tingkat kesuksesan yang lebih tinggi dibanding keinginan untuk menerapkan keadaan ‘ideal' dalam satu waktu tanpa mempertimbangkan sumber daya manusia, waktu dan dana.
D tanpa PCA = Default
Sekali lagi, manajemen keamanan sistem informasi yang hanya bertumpu pada fase “Do” hanya menimbulkan sinisme dari kalangan non IT. Management by adhoc seperti ini, sering bermuara pada investasi tanpa hasil. D bukan lagi singkatan “Do” tetapi “Default” istilah dalam keuangan, terutama dalam risiko kredit, yang berarti ketidakmampuan untuk memenuhi kewajiban (membayar hutang); suatu risiko terbesar yang dihadapi kreditor.
Agus Pracoyo • channel manager /
security consultant pada
PT. Indokom Primanusa dengan alamat
e-mail: pracoyo@ipnsecurity.com
Foto-foto: dok. ebizzasia
|
