Gembok vs Kunci
Analogi kehidupan meninjau bagaimana pengawasan dan tata kelola yang cermat mengenai keamanan data. Dikupas oleh seorang amatiran yang terekspos di dunia teknologi informasi belasan tahun lamanya sambil duduk termenung menatap langit , kok bisa kejadian seperti ini di level negara………
Menurut anda mana yang lebih penting untuk mengamankan rumah anda dari maling? Apakah gembok ? Apakah kunci?
Jika anda menjawab gembok ? anda tidak salah dan dikategorikan benar
Jika anda menjawab kunci ? anda juga tidak salah dan dikategorikan benar
Tetapi pertanyaannya kan ‘lebih penting’ artinya ada kata kata ‘lebih’, titik berat suatu benda yang melebihi benda lainnya. Pertanyaan saya terkesan “mendirect anda” untuk meyakini bahwa satu lebih baik dari yang lain. Tetapi tentu saja ini tidak relevan karena dua hal ini adalah yang sangat krusial di dunia cybersecurity.
Dalam konteks keamanan teknologi informasi, gembok dan kunci memegang peranan krusial yang tak terpisahkan. Gembok digunakan untuk melindungi entitas seperti data, perangkat, atau sistem dari upaya peretasan atau infiltrasi. Sementara itu, kunci digunakan untuk memvalidasi dan mengizinkan akses hanya kepada pihak yang sah.
Gembok memiliki berbagai jenis, termasuk versi manual dan digital, dengan arsitektur yang berbeda-beda tergantung pada kebutuhan dan waktu pembuatannya. Begitu pula dengan kunci, yang memiliki variasi dalam hal desain, teknologi, dan kontrol akses.
Keamanan dalam teknologi informasi tidak dapat memprioritaskan antara gembok atau kunci karena keduanya sama-sama penting. Gembok tanpa kunci tidak dapat melindungi dengan efektif karena akses bisa tetap terbuka untuk mereka yang tidak berhak. Sebaliknya, kunci tanpa gembok juga tidak berguna karena tidak ada yang dilindungi dari serangan atau akses yang tidak sah.
Audit secara berkala diperlukan untuk memastikan bahwa gembok dan kunci berfungsi dengan baik dan tidak mengalami kelemahan yang dapat dieksploitasi. Hal ini penting untuk mencegah terjadinya ‘gembok yang karat’ atau kondisi di mana ada satu titik kelemahan tunggal (Single Point of Failure) yang dapat dieksploitasi oleh penyerang.
Dengan demikian, baik gembok maupun kunci dalam konteks keamanan IT saling melengkapi untuk menciptakan lingkungan yang aman dan terlindungi dari ancaman yang terus berkembang di dunia digital saat ini.
Jadi dua hal ini bersifat saling terkait, lalu jika kita tarik mundur ke sejarah dunia cybercrime, sebenarnya yang patut dicurigai bukan lah “benda mati” namun “benda hidup”. Inilah yang dinamakan “manusia”. Faktor manusia merupakan faktor yang paling lemah di dunia “keamanan data” kenapa?
Dalam konteks keamanan informasi, penting untuk memahami bahwa meskipun kita memiliki sistem yang dilindungi dengan banyak lapisan keamanan seperti gembok dan kunci, namun kelemahan tetap bisa muncul jika faktor manusia diabaikan atau tidak dikelola dengan baik.
Bayangkan sebuah pintu yang dilindungi dengan sepuluh gembok yang masing-masing menggunakan seratus varian kunci berbeda. Meskipun sistem ini tampak sangat kuat dalam teori, namun jika manusia yang bertanggung jawab untuk menempatkan dan mengelola kunci-kunci ini melakukan kesalahan, seperti meletakkan kunci yang seharusnya hanya untuk pengguna tertentu pada tempat umum, atau bahkan dengan tidak sengaja mengizinkan malware atau trojan untuk masuk, maka semua lapisan keamanan tersebut bisa menjadi tidak efektif.
Kunci keberhasilan dari sistem keamanan informasi yang baik adalah tidak hanya memperhatikan aspek teknis seperti kekuatan gembok dan variasi kunci, tetapi juga memperhatikan faktor manusia. Hal ini termasuk dalam hal pelatihan dan kesadaran keamanan bagi para pengguna, implementasi kebijakan yang jelas dan ketat terkait dengan pengelolaan akses, serta penerapan praktik audit dan pengawasan yang ketat untuk memastikan bahwa prosedur keamanan dijalankan dengan benar dan sesuai dengan standar yang ditetapkan.
Secara keseluruhan, untuk menciptakan sistem keamanan informasi yang efektif, kita perlu memastikan bahwa tidak hanya aspek teknis yang diperhatikan dengan seksama, tetapi juga bahwa manusia yang terlibat dalam pengelolaan sistem tersebut dipahami, dilatih, dan diawasi dengan baik. Hanya dengan demikian kita dapat meminimalkan risiko keamanan yang disebabkan oleh kesalahan manusia dan memastikan bahwa semua lapisan keamanan yang diterapkan benar-benar efektif dalam melindungi sistem dari ancaman yang ada, termasuk ancaman yang muncul dari “benda gelap” seperti malware atau trojan.Pernah dengar cerita tembok Cina — the great wall yang hebat dan majestic sebagai “firewall” dari dinasti lain, kenapa masih bobol?
The Great Wall of China was built very high so no one could climb over it and very thick so no one could dig through it. It’s a huge wall that still stands today. People in China felt safe behind it, but within 100 years of its construction, China was invaded three times. The invaders didn’t climb over the wall or dig through it; instead, they entered through gates that were left open because the guards had been bribed. While the Chinese felt secure behind the wall, they didn’t teach their children about honesty and love for their country. As a result, some people betrayed their own country for money, allowing the enemy to invade and take over their land.(John Maxwell -The Leader Within You)
Kata kuncinya “Bribed” dan “Honesty” ini mengindikasikan betapa lemahnya faktor manusia (benda hidup) jika sudah mampu di “infiltrasi” baik karena manusia cenderung “lalai” dan tidak mengikuti “SOP” di mata cybersecurity.
In cybersecurity, “CIA” refers to the foundational principles of information security, which stand for Confidentiality, Integrity, and Availability. These principles form the basis for designing and implementing secure systems and practices to protect data and information assets from various threats.
1. **Confidentiality**: Confidentiality ensures that information is accessible only to those authorized to have access. This principle focuses on preventing unauthorized disclosure of sensitive data. Measures to enforce confidentiality include encryption, access controls, authentication mechanisms, and secure communication protocols. For example, sensitive personal information, financial data, or proprietary business information must be protected from unauthorized access or eavesdropping.
2. **Integrity**: Integrity ensures that data remains accurate, complete, and trustworthy throughout its lifecycle. This principle aims to prevent unauthorized or unintended modification of data. Methods to maintain data integrity include checksums, digital signatures, version control, and access controls. Organizations use integrity checks to detect and prevent data tampering or corruption, ensuring that data retains its reliability and validity.
3. **Availability**: Availability ensures that information and resources are accessible and usable by authorized users whenever needed. This principle focuses on preventing and mitigating disruptions or denial of service. Techniques to ensure availability include redundancy, disaster recovery plans, backups, load balancing, and fault-tolerant systems. Organizations strive to maintain continuous access to critical systems and services to avoid downtime caused by cyber attacks, hardware failures, or natural disasters.
These three principles work together to provide a comprehensive approach to cybersecurity:
- **Balancing Act**: Achieving cybersecurity involves balancing these principles based on the specific needs and risks of an organization. For instance, stringent confidentiality measures might be crucial for protecting classified government information, while availability might be paramount for an e-commerce platform handling high transaction volumes.
- **Comprehensive Defense**: Implementing CIA principles requires a layered defense strategy that includes technical controls, policies, procedures, and user awareness. Organizations employ firewalls, intrusion detection systems, antivirus software, and regular security audits to uphold these principles.
- **Adaptability**: With the evolving landscape of cyber threats and technology advancements like cloud computing and IoT, maintaining CIA principles requires continuous adaptation and improvement. Security professionals must stay updated with emerging threats and best practices to safeguard against new vulnerabilities and attack vectors.
In summary, CIA principles provide a framework for organizations to safeguard their information assets by ensuring confidentiality, integrity, and availability in the face of evolving cyber threats and technological advancements.
Dalam konteks keamanan data di era Teknologi Informasi, penting untuk memahami bahwa data merupakan aset yang sangat berharga dan perlindungannya harus dijamin dengan serius. Ketika kita berbicara tentang “denial of service,” ini mengacu pada serangan di mana layanan atau sistem menjadi tidak tersedia untuk pengguna yang sah, namun ada juga aspek lain yang perlu diperhatikan, yaitu ketidakpedulian terhadap keamanan data.
Ada situasi di mana ada pihak-pihak yang tidak menganggap serius atau menolak untuk mengakui pentingnya keamanan data. Mereka mungkin meremehkan risiko kebocoran data atau peretasan dengan menganggap bahwa “jika data hilang, ya sudahlah” atau bahwa proses pemulihan data hanya bisa diminta dengan sistem “request” — cukup memprihatinkan.
Ini adalah sikap yang sangat berisiko dan kurang elok terutama di era di mana data memiliki nilai strategis yang besar dalam operasi bisnis dan privasi individu. Mekanisme backup, yang merupakan prasyarat fundamental dalam melindungi data dari kehilangan akibat serangan atau kegagalan sistem, haruslah lebih dari sekadar permintaan tiket atau prosedur administratif yang lambat. Perusahaan dan organisasi harus memiliki kebijakan yang jelas dan sistem yang efisien untuk melakukan backup secara teratur dan memastikan pemulihan data yang cepat dan efektif jika terjadi kebocoran atau hilangnya data.
Dokumen diatas diterbitkan oleh nccoe via NIST (National Institute Of Standard and Technology) US— Isinya mengenai mechanic backup untuk safeguard information. Link saya bagikan diatas
Mindsetnya 3–2–1
3 -> Pastikan ada 3 salinan/kopi dari file/data yang penting — 1 untuk primary 2 untuk backup
2-> Pastikan data tersebut diletakkan di 2 jenis media terpisah untuk menghindari jenis hazard yang berbeda(dan tentunya mencegah single point of failure).
1-> Pastikan mempunyai copy data “satu” yang offline — offsite dan tidak mempunyai konektiviti dengan internet (untuk mencegah realtime encryption/remote infilitration)
Seandainya prinsip 3–2–1 ini dijalankan — data loss prevention mechanic dapat dipastikan berjalan dengan lancar dengan recovery mode yang efektif untuk menghindari kasus semacam “ransomware”. Kuncinya adalah penerapan mekanisme prevention and recovery yang terpadu akan membawa dampak yang positif terhadap data processing and archiving lifecycle.
Memang soal urusan backup itu debatable karena urusan ini juga melibatkan resource seperti halnya jika anda memiliki satu database isi 100juta record — untuk mirror/backup tentunya harus ada mechanic atau budget yang mensupport hal yang sama sebagai backup (ditilik dari segi operational excellence — ini adalah mandatory, dan bagian dari anggaran karena backup harus apple to apple dan consume same resources jadi mekanisme backup haruslah menyesuaikan sifat asli dari aplikasi yang akan dibackup untuk menghindari budget overkill or underutilized (optimum scalable)
Lebih jauh lagi, dalam negara-negara maju, konsumen memiliki hak untuk mengajukan tuntutan hukum dalam bentuk class action jika data mereka diretas atau diakses secara ilegal akibat dari kegagalan regulator atau organisasi dalam melindungi platform mereka dari serangan data. Hal ini menunjukkan bahwa perlindungan data bukan hanya tanggung jawab moral atau teknis, tetapi juga memiliki konsekuensi hukum yang serius jika tidak dijalankan dengan baik.
Oleh karena itu, mengesampingkan atau meremehkan perlindungan data adalah suatu kesalahan besar. Teknologi-teknologi canggih ini memang penting, namun mereka tidak dapat berfungsi dengan baik jika dasar keamanan data tidak diatur dengan baik. Jadi, penting bagi setiap organisasi, regulator, dan individu untuk menganggap serius perlindungan data sebagai prioritas utama dalam strategi dan operasi mereka di era digital ini.
Apa itu Class Action?
Gugatan perwakilan kelompok atau gugatan kelompok atau class action adalah suatu tata cara pengajuan gugatan, dimana satu orang atau lebih yang mewakili kelompok mengajukan gugatan untuk diri mereka sendiri dan sekaligus mewakili kelompok orang dengan jumlah banyak, yang memiliki kesamaan fakta atau dasar hukum antara wakil kelompok dan anggota kelompok yang dimaksud.[1]
Tapi ya sudahlah, barang sudah terjadi, yang bisa dilakukan lebih baik. berbenah sebelum kejadian serupa terjadi lagi.
Tulisan ini mewakili keresahan orang orang yang berkecimpung di dunia teknologi yang melihat dari jarak jauh bagaimana proses pengelolaan sistem di suatu negara antah berantah yang ada. Ya mudah mudahan ada yang teregelitik untuk memperbaiki karena jika tidak sangat bisa dipastikan next generation will be suffered dengan kenyataan bahwa jangankan “CIA” ini flow basic seperti backup mechanic hingga vulnerability assessment masih bisa dibilang jauh dari kata sempurna atau bahkan “bare minimum”.
Di dunia Enterprise kejadian “peretasan” yang melibatkan orang orang internal maupun luar merupakan tanggung jawab “leader”, bisa bisa satu divisi langsung di rumahkan besok harinya jika tidak beres melindungi data nasabah.
Dalam lingkungan IT yang dinamis dan agile saat ini, praktik seperti vulnerability assessment, data patching, OS patching, dan mirroring merupakan hal yang sudah umum dipahami oleh para stakeholder dalam keamanan informasi. Namun, tantangan sebenarnya muncul dari perubahan cepat dalam teknologi dan paradigma bisnis.
Di era digital saat ini, keahlian yang dianggap penting hari ini mungkin sudah tidak relevan dalam waktu singkat. Contohnya, seseorang yang memiliki sertifikasi sebagai Solutions Architect hari ini mungkin akan dihadapkan pada situasi di mana keahliannya dianggap tidak relevan dalam beberapa tahun ke depan karena perkembangan seperti Machine Learning atau bahkan Blockchain menjadi norma baru.
Perubahan yang cepat dan adopsi teknologi bleeding edge sering kali meninggalkan infrastruktur yang sudah ada terlalu lambat dalam adaptasinya. Hal ini dapat menyebabkan celah keamanan yang signifikan jika tidak diatasi dengan tepat. Oleh karena itu, audit secara berkala yang dilakukan oleh ahli yang kompeten adalah solusi terbaik untuk memastikan bahwa sistem keamanan tetap terjaga dan relevan dengan tantangan yang muncul.
Pentingnya audit berkala juga menyoroti fakta bahwa seringkali orang yang bertanggung jawab menjaga data tidak sepenuhnya menyadari pentingnya informasi yang mereka tangani, sampai mereka menjadi korban dari kebocoran atau serangan data. Karena itu, kompetensi sumber daya manusia dalam keamanan informasi harus selalu ditingkatkan, terutama ketika berkaitan dengan kepentingan nasional atau informasi yang krusial.
Dalam konteks ini, penting bagi organisasi untuk tidak hanya mengandalkan pada teknologi terbaru, tetapi juga memperhatikan keandalan infrastruktur yang ada dan keamanan data secara menyeluruh. Audit berkala oleh auditor yang berkompeten bukan hanya memastikan kepatuhan terhadap standar keamanan, tetapi juga memberikan pandangan objektif mengenai risiko keamanan yang perlu ditangani dengan segera. Dengan cara ini, organisasi dapat menghadapi perubahan teknologi dengan lebih siap dan mengurangi risiko terhadap serangan atau kebocoran data yang dapat berdampak serius pada kepentingan nasional atau organisasi.
Kebocoran data merupakan ancaman serius yang dapat mengakibatkan kerugian finansial, reputasi, dan kehilangan kepercayaan dari pelanggan atau publik.
Solusi untuk mengatasi masalah ini meliputi penerapan kebijakan keamanan yang sangat ketat, mekanisme backup data yang harus diimprove , penggunaan teknologi enkripsi yang canggih, pelaksanaan audit berkala oleh ahli keamanan terhadap server, serta pendidikan dan pelatihan kontinu bagi seluruh personel terkait baik soal pishing maupun information security.
Dengan tindakan ini, organisasi dapat memperkuat perlindungan terhadap data mereka, menjaga integritas dan kepercayaan, serta mengurangi risiko kebocoran data yang dapat mengancam kelangsungan bisnis mereka.
Dan ya itulah sekelumit drama yang terjadi hari hari lepas yang membuat saya termenung sambil menyeruput teh hangat di tengah gemerlap drama dunia Teknologi yang kian pesat. Entahlah, mungkin kita butuh avatar untuk menyelamatkan dunia.
See you again !
Reference
