Cukupkah dengan Teknologi??

Bayangkan sebuah kejadian berikut. Seorang karyawan di sebuah perusahaan ternama di Indonesia 'mengirimkan' file excel yang berisi rekap daftar gaji semua karyawan yang bekerja di kantor pusat perusahaan tersebut ke seluruh karyawan yang memiliki e-mail account korporasi. Kita semua bisa membayangkan betapa suasana kerja di perusahaan tersebut menjadi sangat terganggu dengan tersebar file konfidensial tersebut. Parahnya, dengan segala usaha pengamanan yang telah dilakukan baik oleh staf TI internal maupun kontraktor eksternal, kejadian tersebut terulang kembali tepat sebulan kemudian. Masih dikirim oleh karyawan yang sama, isi e-mail yang sama pula dan attachment yang tidak berubah.

Bisa kita bayangkan, bahkan dengan firewall sebanyak 3 lapis, dengan merek yang berbeda sekalipun tidak akan mampu mencegah kejadian seperti ini. Secanggih apapun mekanisme teknis security yang sebuah perusahaan terapkan, tidak akan ada artinya apa pun jika salah seorang karyawannya dengan senang hati memberikan akses berupa username dan password nya kepada orang lain yang memiliki niat jahat.

Kejadian di atas membuktikan bahwa resiko keamanan yang berasal dari perilaku staf dan karyawan memiliki nilai yang teramat signifikan. Perilaku mereka bisa berasal dari ketidaktahuan mereka mengenai kebijakan-kebijakan security serta nilai strategi dari informasi konfidensial milik perusahaannya. Namun bisa juga, mereka merupakan korban dari sebuah 'penipuan' hasil dari rekayasa sosial.

Sebuah artikel di Computerworld menulis:
"Recent findings from the Computing Technology Industry Association might convince you otherwise. In this year's CompTIA information security study, 59% of the organizations surveyed indicated that their latest security breaches were the result of human error alone. That's up from 47% last year."

They say, people - process - technology!

Pendekatan penerapan information security seharusnya mengintegrasikan ketiga aspek di atas, manusia, proses/prosedur serta teknologi. Seperti gambaran di atas, penerapan teknologi secanggih apapun tidak akan mampu mengatasi kesalahan maupun ketidaktahuan manusia yang terlibat di dalamnya. Begitu pula dengan proses/prosedur. Mutlak harus ada dukungan secara tertulis dari pihak manajemen organisasi dan perusahaan, kerangka kerja security yang terpadu di dalam organisasi, prosedur penerapan security serta sangsi-sangsi terkait.

Sebuah penelitian yang dilakukan oleh CIO Magazine pada 2003, memperlihatkan fakta yang cukup menarik untuk dikaji. Pada setiap $100 bujet IT perusahaan-perusahaan yang terlibat survey, terdapat $8,4 untuk pengeluaran IT security, dimana 42% nya adalah pengeluaran untuk teknologi. Tidak dijelaskan lebih lanjut bagaimana dengan sisa persentasenya, namun artikel tersebut menulis bahwa pengeluaran untuk teknologi adalah bagian terbesar. Meskipun demikian CompTIA menujukkan data bahwa kecenderungan gangguan security meningkat tajam untuk insiden-insiden yang terkait degnan kesalahan manusia. Fakta ini menunjukkan bahwa aspek manusia, proses/prosedur dan teknologi adalah 3 aspek yang tidak boleh dipandang sebagian saja. Ketiganya harus terintegrasi melalui penerapan teknologi, pelatihan sumber daya manusia, penyusunan kebijakan dan prosedur serta yang tidak kalah penting adalah mengenal aspek security dari sumber daya perusahaan berupa data dan informasi.