Saya melihat masalah IT security ini sangat penting dan strategis. Jika tidak ditangani dengan baik dapat berakibat kerugian yang jauh lebih besar. Karenanya, meski disebut IT security , tetapi tidak berarti yang dijaga hanya teknologinya saja. Teknologi itu tak lebih hanya tools . Di antara tiga unsur utamanya: technology, people, dan process, yang harus kami kuatkan adalah people dan process -nya.

Untuk proses dijaga dengan prosedur dan kebijakan. Sedang orang, selain kesadaran juga perlu pengendalian disiplin, sehingga prosedur dan kebijakan itu tak hanya ditaati, tetapi juga dilakukan sungguh-sungguh.

Sebenarnya, pengembangan IT security di BRI ini lebih karena di- trigger oleh adanya keharusan dari Bank Indonesia (BI). BI mulai memberlakukannya, kalau tak salah, sejak tahun 2002. DI BRI sendiri, sebelumnya hanya bersifat parsial, yang kami nilai justru malah memungkinkan menjadi tidak secure . Dari situlah kami mulai memperhatikan masalah IT Security ini lebih serius.

Saat ini, dengan didukung 7 orang praktisi, yang semuanya berada di kantor pusat, memang masih belum ideal. Kami masih fokus di kantor pusat, karena datanya tersentralisasi di sini (menjaga jejaring), meskipun di daerah sebenarnya juga penting.

Yang kami tangani sekarang salah satunya adalah jaringan, dalam pengertian, kalau ada penyusup, virus, atau ada penyalahgunaan cepat direspon. Pengelolaan masalah security ini ada di bawah divisi TI. Sementara, divisi kepatuhan dan manajemen risiko, termasuk juga bertugas mengelola risiko TI. Sedang, audit TI tugasnya hanya mengaudit saja, yang keluarannya nantinya masuk ke kami.

Dalam menangani security , kami mengacu pada standar yang ada, yaitu ISO17779. Sebagian kami adopsi dan masukkan ke dalam kebijakan, tentu dengan beberapa penyesuaian. Misalnya, kalau di ISO17779 itu diatur panjang password 10 karakter, kami menggunakan minimum 8 karakter. Untuk sistem-sistem legacy yang sulit diubah, dikecualikan. Tetapi, kalau ada sistem baru, ya harus mengikuti aturan itu.

Menyangkut security ini, karena yang memiliki data bukan kami, maka kami lebih mengikuti kebutuhan dari bagian-bagian yang memiliki data dan informasi: mana yang perlu dirahasikan atau mana yang boleh diakses oleh siapa.

Karenanya, ketika suatu aplikasi dikembangkan, biasanya para pengguna kami berikan menu, keperluannya apa saja. Ini dilakukan berkoordinasi dengan pengguna, termasuk pemilik datanya, misalkan divisi bisnis. Dari menu itu sudah terseleksi, siapa-siapa yang boleh melihat (mengakses) apa. Kalau nantinya ada penyimpangan, itu tugas IT security (untuk mengatasinya). Jadi kami akan memasang tool s, yang bisa mengatur akses-akses itu.

Untuk menjaga tingkat keamanan sistem dan jaringan kami, bisanya, melakukan assessment, sehingga akan kelihatan lubang-lubang security itu ada dimana. Hal ini kami lakukan setidaknya setahun sekali. Sedang, penetration test , dalam setahun bisa dua atau tiga kali. Tapi pentest ini tidak harus mengikuti jadwal. Ketika dirasakan perlu, misalnya terindikasi ada pihak yang mencoba-coba menembus jaringan kami, maka pentest dilakukan. TI/Aa/Muf

Foto-foto: Muflihun.