Volume IV No 31 - Nopember-Desember 2005
 

 

Layanan (Gratis) Berbasis Web
Bagai Pisau Bermata Dua
 

Layanan berbasis Internet makin marak. Dari email, sinkronisasi, storage virtual hingga panggilan interlokal pun ada. Gratis pula! Tapi, juga berpotensi membuat pusing pengelola TI korporat, karena membuat lubang di jaringan perusahaan dan menyebabkan data korporat raib. Nah lho!

Beberapa tahun lalu, orang mengenal layanan aplikasi berbasis Web kalau tidak e-mail gratis, ya layanan aplikasi yang disediakan oleh application service provider (ASP).

Tapi, kini, kondisi sudah berubah. Menjamurnya akses broadband, mendorong semakin beragamnya aplikasi yang penggunaannya dihantarkan melalui Internet, baik gratisan maupun berbayar, untuk pengguna individu atau korporat. Semakin meningkatnya keyakinan konsumen akan kehandalan dan kenyamanan aplikasi berbasis web ini membuat sejumlah aplikasinya terbilang sukses.

Bagi para CIO atau pengelola TI pada umumnya, hadirnya layanan-layanan berbasis Web ini ibarat pisau bermata dua. Jika diterapkan dengan benar, aplikasi-aplikasi berbasis Web ini dapat memenuhi kebutuhan pengguna, tanpa perlu dukungan dan biaya pengembangan yang besar.

Di sisi lain, layanan-layanan berbasis Web ini juga memiliki sisi gelap. Seringkali para user bebas menggunakan layanan tersebut tanpa sepengetahuan pengelola TI tempat mereka bekerja. Otomatis tindakan semacam itu membuka semacam lubang di sistem security , yang mungkin sudah susah payah dibangun perusahaan.

Kapasitas besar

Salah satu layanan berbasis Web yang paling populer apalagi kalau bukan email. Sekarang ini, siapa sih yang tidak memiliki akun email kedua sebagai akun email pribadi, selain akun email perusahaan? Namun, siapa nyana, perusahaan yang membiarkan karyawannya mengakses akun email berbasis Web justru menimbulkan risiko bagi perusahaan.

Nancy Flynn, direktur eksekutif ePolicy Institute dari AS mengatakan bahwa suatu perusahaan dapat menghadapi masalah legal dan pelanggaran regulasi yang cukup serius bila membiarkan karyawannya menggunakan email pribadi, namun tidak mengambil langkah untuk menyimpan pesan-pesan email tersebut. “Email saat ini bisa disetarakan sebagai bukti DNA versi elektronik. Jika ada tuntutan hukum, email dapat dibawa sebagai bukti di pengadilan,” ujarnya.

Dia mengungkapkan, dalam suatu riset di tahun 2004 bertajuk Workplace E-mail and Instant Messaging Study , yang disponsori pihaknya bersama American Management Association ditemukan bahwa 21 persen dari 840 perusahaan AS yang disurvei memiliki pengalaman pesan-pesan email dan instant messaging karyawannya diajukan sebagai bukti tuntutan hukum atau investigasi yang terkait dengan pelanggaran suatu regulasi.

Menurut Flynn, pengadilan di AS tidak membeda-bedakan apakah email itu dikirim melalui akun email pribadi atau perusahaan. Yang jelas, menurut Flynn, mereka menginginkan seluruh email terkait perusahaan yang dikirim oleh karyawan. Jika tak terpenuhi, dendanya bisa enam digit, timpalnya.

Artinya, perusahaan-perusahaan yang membiarkan atau tidak memedulikan karyawannya mengakses layanan email berbasis Web populer seperti Gmail-nya Google, Hotmail-nya Microsoft, ataupun Yahoo!Mail akan menempatkan dirinya pada posisi sulit. Apalagi, kini banyak perusahaan yang harus mematuhi berbagai compliance dan regulasi, seperti Sarbanes-Oxley, selain kebutuhan untuk melindungi intellectual property perusahaan.

Kondisi ini pun semakin bertambah pelik ketika para penyedia layanan email berbasis Web mulai menawarkan kapasitas simpan ekstra besar, sampai 1GB, seperti yang ditawarkan Gmail, dan belakangan juga Yahoo!Mail. Dengan kapasitas sebesar itu, bisa dibayangkan berapa banyak informasi bisnis sahih yang berpotensi raib dari perusahaan melalui layanan berbasis Web ini, dan tidak akan tersedia jika perusahaan terlibat dalam tuntutan hukum.

Para pakar di AS umumnya sepakat bahwa sudah saatnya perusahaan mengembangkan dan mewujudkan sebuah kebijakan TI mengenai penggunaan email pribadi di perusahaan. Menurut Flynn, perusahaan pun perlu membuat para karyawannya sadar mengenai risiko dalam proses komunikasi bisnis sehari-hari.

Selain itu, penegakan kebijakan itu juga perlu mendapat perhatian. Flynn memperlihatkan kontradiksi yang terjadi di kalangan perusahaan di AS. Dari riset di atas terungkap bahwa sekalipun 79 perusahaan-perusahaan di AS sudah memiliki kebijakan mengenai email secara tertulis, hanya 25 persen yang memberikan sanksi tegas terhadap para pelanggar kebijakan itu.

Selain itu, dia juga menyarankan agar perusahaan mempertegas hal-hal yang termasuk dalam penggunan pribadi. Misalnya, arahan mengenai seberapa banyak waktu yang bisa dihabiskan para karyawan untuk menggunakan layanan messaging pribadi, melalui sistem apa dan kepada siapa mereka bisa berkomunikasi.

Untuk itu, peranti monitoring dan filtering pun diperlukan. Perusahaan juga bisa menggunakan perangkat on-the-fly keyword monitoring , untuk memastikan bahwa pesan-pesan email yang dikirim tidak memuat informasi sensitif.

Langkah yang lebih drastis, menurut Flynn, jika perusahaan tidak bisa menerima risiko yang terkait dengan penggunaan email pribadi adalah melarangnya sama sekali. Dia beralasan bahwa pemberian fleksibilitas bagi karyawan kemungkinan tidak sepadan dengan risiko yang ditanggung perusahaan, seperti hilangnya data bisnis, produktivitas maupun kekayaan intelektual.

Peer-to-peer

Layanan melalui Web yang tak kalah populer adalah yang menggunakan teknologi peer-to-peer (P2P). Teknologi ini semakin dikenal luas berkat layanan download dan music swapping yang dulu sempat populer, namun akhirnya ditutup dengan alasan pelanggaran hak cipta, yakni Napster.

P2P dan layanan berbasis Web sesungguhnya merupakan entitas berbeda, namun mereka sama-sama memiliki tiga ‘keunggulan' penting. Peranti dan program ini mudah di download oleh karyawan, sering dipandang sebagai layanan untuk meningkatkan produktivitas, dan sebagian besar sanggup menembus firewall korporat, mem- bypass seluruh bentuk pengamanan TI perusahaan.

Sebagai contoh GoToMyPC, sebuah layanan berbasis Web yang dimiliki Citrix Online. Seorang karyawan dapat dengan mudah men download peranti lunak ini ke PC kantornya. Cukup dengan membayar biaya langganan 19,95 dolar per bulan, karyawan tersebut dapat mengakses konten workstation di kantornya dari PC manapun asalkan terhubung ke internet, cukup dengan mengetik sebuah user name dan password .

Terkait dengan masalah security , pihak GoToMyPC menegaskan bahwa layanan ini terbilang aman karena menggunakan enkripsi dan sejumlah langkah keamanan lainnya. Namun bagi para chief security officer (CSO), ada sejumlah faktor keamanan yang masih menjadi ganjalan. Pertama , betapapun amannya program ini, data security maupun jaringannya tetap di luar kendali CSO atau pengelola TI. Kedua , pengelola TI tidak bisa mengawasi PC-PC yang digunakan karyawan untuk mengakses jaringan korporat dari jauh. Bisa saja PC ini berada di warung Internet, dimana tempat ini rawan disusupi seorang hacker yang berniat menanam keystroke logger , maupun PC rumahan yang memanfaatkan jaringan nirkabel tanpa security yang memadai.

Layanan lain berbasis teknologi P2P yang tengah menanjak populer adalah BeInSync. Layanan ini menawarkan kapabilitas yang cukup menggiurkan: sinkronisasi folder lokal maupun jaringan secara cepat dan mudah dengan PC manapun di bumi ini yang berplatform Windows 2000 atau XP. Dari segi finansial pun menggiurkan karena layanan dasarnya bisa diperoleh secara gratis. Dengan tambahan beberapa dolar per bulan, pengguna dapat memanfaatkan layanan BeInSync Pro, yang menghilangkan batasan jumlah file yang dapat disinkronkan dan menambah fasilitas akses melalui Web.

Layanan ini memang berpotensi membuat pusing para pengelola security TI perusahaan. Pasalnya, BeInSync dapat dengan mudah melakukan sinkronisasi melalui port-port standar, sehingga di mata perangkat firewall , seluruh streaming data korporat ke perangkat PC yang entah di mana terlihat layaknya trafik Internet. Adanya akses tambahan melalui Web berarti seorang user bisa menarik data korporat melalui browser Web apapun, cukup dengan mengetikkan username berikut password. Artinya, seperti yang telah dijabarkan di atas, akses ini kemungkinan besar dapat terendus dengan keylogger maupun perangkat lunak malware lainnya.

Meski demikian, seperti halnya GoToMyPC, layanan BeInSync juga menyertakan fitur keamanan yang mumpuni seperti enkripsi canggih, serta membangun koneksi P2P yang murni antara komputer-komputer yang disinkronkan, sehingga data milik user tidak akan mampir ke server pihak ketiga.

Agaknya, pengelola BeInSync juga menyadari bahwa sejumlah perusahaan mungkin tidak bakal menyukai karyawannya menggunakan peranti semacam itu dan memblokir trafik keluar melalui port-port nonstandar. Namun, tak kehabisan akal, pengelola BeInSync membimbing pengguna untuk menelikung firewall korporat, yang biasanya memblokir trafik ke luar melalui port-port non-standar seperti 5584 dan 5585. Seperti diinformasikan dalam halaman FAQ-nya, sebagai jalan lain, pengguna bisa melakukan komunikasi melalui salah satu port yang biasanya diizinkan, yakni port 21 (FTP), 23 (Telnet), 80 (HTTP) atau 443 (HTTPS).

VoIP gratis

Yang tak kalah populer adalah layanan komunikasi suara melalui voice over IP (VoIP), yakni Skype. Sambungan langsung jarak jauh, telepon tak terbatas, gratis pula! Siapa yang tidak tergiur? Dengan tambahan beberapa sen dolar, Anda bisa memanggil nomor telepon biasa. Tambah beberapa dolar lagi, Anda sudah bisa memiliki sebuah nomor telepon Skype yang bisa dihubungi melalui telepon reguler. Tawaran yang begitu menggoda, sehingga tak heran jika Skype berani mengklaim peranti lunaknya sudah di download 175 juta kopi!

Tapi masalahnya, siapkah bandwidth jaringan perusahaan mendukung segerombolan karyawan yang ramai-ramai melakukan panggilan interlokal melalui PC-PC mereka? Belum lagi telekomunikasi ini berlangsung tanpa adanya akuntabilitas, sehingga pengelola TI atau telekomunikasi sama sekali tidak bisa mengendalikan siapa menelepon siapa, dan kapan waktunya.

Seperti peranti-peranti yang dibahas di atas, trafik Skype pun dapat dengan mudah menembus firewall, seolah-olah tidak ada. Memang Skype mengenkripsi seluruh percakapan yang berlangsung melalui layanan ini, namun ini lebih merupakan bonus bagi pengguna, problem bagi pengelola TI, karena mereka tidak bisa memonitor apalagi menghentikan lalu lintas percakapan itu.

Namun, untuk masalah yang terakhir ini, pihak Skype agaknya memahami kekhawatiran kalangan enterprise. Bagi perusahaan yang ingin menggunakan layanan Skype sebagai alternatif murah dari telepon tradisional, Skype menyediakan Security Center di situsnya dimana perusahaan bisa men download panduan untuk administrator jaringan dan security alert .

Awareness

Kalau mau dirunut, mungkin masih ada lusinan layanan berbasis Web, yang meski menawarkan manfaat produktivitas yang cukup positif, namun dengan konsekuensi kerawanan security yang tidak bisa dipandang ringan. Misalnya saja internet messaging ( chatting ) yang sangat populer di kalangan netter , aplikasi hard-drive virtual Xdrive, dan beberapa program lainnya.

Mau melarang juga sulit. Pasalnya, aspek tersulit dari permasalahan ini adalah banyak dari teknologi-teknologi ini merupakan peranti-peranti bisnis yang bermanfaat jika digunakan dengan pengawasan security yang memadai. Hanya saja, karena perangkat ini sangat mudah didapat dan berharga murah bahkan gratis, seringkali karyawan terlalu antusias untuk men download nya serta mengintegrasikan dengan lingkungan pekerjaannya, tanpa memikirkan bahwa tindakannya berpotensi membahayakan jaringan perusahaan.

Namun, bukan berarti masalah ini tidak teratasi. Awareness merupakan titik awal untuk membangun pertahanan yang baik, diikuti dengan kebijakan perusahaan yang secara jelas mengatur penggunaan layanan-layanan ‘informal' seperti itu. Setidaknya, pengguna tahu bahwa perusahaan selalu memantau penggunaan layanan itu, dan mengetahui bahwa perusahaan selalu bersedia mendengar permohononan untuk usage privileges . Tapi, bukan berarti perusahaan bisa memaafkan penggunaan layanan tersebut tanpa izin, karena ini terkait dengan masalah security TI perusahaan. arief

© 2003 - 2005 eBizzAsia. All rights reserved.