Analisa Investasi Sistem Keamanan Jaringan
oleh Prof. Richardus Eko Indrajit - indrajit@post.harvard.edu
EKOJI
999
Nomor 254, 20 Mei 2013
Dewasa ini, hubungan antara bisnis dan teknologi informasi bukan lagi merupakan sebuah relasi demand-‐supply belaka, tetapi keduanya telah menjadi suatu kesatuan yang tak terpisahkan. Fenomena ini terutama terjadi pada perusahaan moderen yang telah menyadari bahwa informasi telah menjadi salah satu faktor produksi penting disamping empat sumber daya lain yang lebih dikenal sebagai 4M (men, machines, materials, dan money). Dalam konteks ini, jelas terlihat bahwa manajemen perusahaan harus memiliki mekanisme efektif untuk mengelola proses penciptaan, penyimpanan, penyaluran, dan pengawasan terhadap informasi ini agar keberadaannya benar-‐benar dapat menjadi sebuah entiti strategis bagi perusahaan. Melihat bahwa pada dasarnya wujud informasi merupakan sebuah content yang berada dalam sebuah ”container” yang bernama teknologi informasi (konvergensi antara teknologi komputer dan telekomunikasi), maka faktor pengelolaan terhadap teknologi ini menjadi sangat krusial. Bukan merupakan rahasia umum lagi bahwa di era internet ini, banyak terjadi berbagai tindakan kriminal berkaitan dengan pencurian informasi penting dan rahasia yang dimiliki oleh perusahaan. Tindakan ini tidak saja bermuara pada terjadinya kerugian langsung yang harus ditanggung/diderita oleh pihak perusahaan terkait, tetapi lebih jauh lagi dapat menjadi ancaman terhadap keberadaan dan perkembangan teknologi informasi sebagai suatu alat bantu untuk meningkatkan kualitas kehidupan manusia pada umumnya dan aktivitas bisnis (pertukaran barang dan jasa) pada khususnya. Walaupun jelas terlihat dalam kerangka ini bahwa sudah saatnya manajemen perusahaan menaruh perhatian serius terhadap kondisi sistem keamanan jaringan teknologi informasinya, namun pada kenyataannya hanya sedikit sekali pimpinan perusahaan yang memutuskan untuk menyisihkan sebagian anggarannya untuk membangun sistem yang efektif. Memperhatikan bahwa salah satu alasan yang dikemukanan adalah tidak jelasnya manfaat riil yang diperoleh untuk menjusti�ikasi biaya yang telah dikeluarkan, artikel ini bertujuan untuk memberikan beberapa alternatif pendekatan seputar teknik analisa dan perhitungan cost-‐bene�it terhadap isu terkait. Harapannya adalah agar para eksekutif perusahaan yang ingin mengembangkan sistem keamanan jaringannya tidak harus merasa takut akan terjadinya”over investment” (investasi yang berlebih) dalam mengeksekusi keputusan alokasi biaya terkait.
DOMAIN RESIKO KEAMANAN
Domain Relasi Internal berkaitan dengan pengelolaan informasi (penciptaan, penyimpanan, penyaluran, dan pengawasan) yang melibatkan berbagai entiti bisnis – yang saling terkait satu lainnya – dalam batasan wilayah organisasi usaha. Contohnya adalah informasi yang mengalir antar departemen, antar fungsi, antar jabatan, antar unit bisnis, dan lain-‐lain.
Domain Relasi Mitra Bisnis berkaitan dengan pengelolaan informasi dalam suatu wilayah kolaborasi antara perusahaan dengan sejumlah mitra bisnisnya, seperti para supplier, vendor, lembaga keuangan, dan lain sebagainya. Dalam kerjasama ini, beragam informasi mengalir dari perusahaan ke sejumlah mitra bisnis dan sebaliknya. Contohnya adalah informasi berkaitan dengan pemesanan barang, peminjaman kredit di bank, kontrak kerjasama, dan lain-‐lain.
Sumber: Indrajit, 2002
TIPE RESIKO BISNIS
Dengan mengetahui tiga domain di atas, maka manajemen dengan mudah dapat mengidenti�ikasi jenis dan tingkat resiko bisnis apa saja yang perlu untuk dipahami dan diperhatikan secara sungguh-‐sungguh.
Resiko Keamanan Internal
Dalam domain relasi internal, informasi memiliki dua peranan strategis. Peranan pertama adalah keberadaan informasi sebagai salah satu faktor produksi penting yang secara langsung terlibat dalam proses penciptaan barang dan/atau jasa. Dengan adanya informasi ini diharapkan proses utama tersebut (core processes) dapat dilangsungkan secara efektif dan e�isien. Termasuk di dalam proses ini adalah aktivitas perencanaan korporat, aktivitas pengelolaan sumber daya, aktivitas pengambilan keputusan, dan lain sebagainya. Sehubungan dengan hal ini, faktor keamanan data dan/atau informasi yang buruk akan memiliki dampak langsung kepada perusahaan, misalnya:
Masuknya virus yang merusak data dan/atau informasi yang dimiliki perusahaan akan
membuat kegiatan produksi perusahaan terganggu;
Bocornya data dan/atau informasi rahasia perusahaan ke tangan kompetitor
(terutama yang berkaitan dengan hak milik intelektual) dapat mendatangkan kerugian yang sangat besar;
Hilangnya data dan/atau informasi krusial dapat menghentikan sejumlah proses dan
aktivitas internal perusahaan;
Dirubahnya sejumlah data dan/atau informasi oleh pihak yang tidak bertanggung
Rusaknya sistem email dapat menurunkan e�isiensi kinerja karena sulitnya melakukan komunikasi; dan lain sebagainya
Resiko terbesar yang dihadapi oleh perusahaan sehubungan dengan hal ini adalah terganggunya atau terhentinya proses produksi yang berarti hilangnya kesempatan perusahaan untuk menawarkan produk dan/atau jasanya kepada pelanggan – yang berarti pula ancaman terhadap eksistensi usaha.
Peranan kedua dari informasi adalah sebagai alat bantu terciptanya kontrol internal yang baik di dalam perusahaan – terutama yang berkaitan dengan aspek ”good corporate governance” yang belakangan ini mutlak dituntut oleh mayoritas stakeholder organisasi. Sejumlah kasus keamanan yang kerap terjadi sehubungan dengan hal ini misalnya:
Manipulasi laporan keuangan dan perpajakan karena buruknya sistem keamanan
aplikasi maupun database perusahaan;
Diubahnya data dan/atau informasi sejumlah ukuran kinerja bisnis pada masing-‐
masing unit atau departemen agar tidak terlihat adanya kinerja buruk yang terjadi;
Digantinya isi dari sejumlah dokumen arsip agar tidak terkena jeratan hukum;
Dibukanya dokumen-‐dokumen rahasia oleh mereka yang tidak berhak untuk
mengaksesnya; dan lain sebagainya.
Adapun resiko terbesar yang dihadapi oleh perusahaan jika faktor keamanan terhadap data dan/atau informasi tidak terjaga dalam konteks ini adalah potensi terjadinya ”chaos” atau kekacauan internal, yang tentu saja akan berdampak langsung dan sangat buruk terhadap operasional usaha.
Resiko Keamanan Konsumen
Perusahaan dapat eksis menjalankan usahanya karena adanya konsumen yang setia membeli produk dan/atau jasa yang ditawarkan. Dengan kata lain, konsumen merupakan faktor penentu dari hidup matinya usaha. Dalam menjalankan bisnisnya sehari-‐hari, tentu saja terjadinya relasi yang intens antara perusahaan dengan para konsumennya. Dan di dalam era internet seperti saat ini, sejumlah dan beragam interaksi antara perusahaan dengan konsumennya terjadi di dunia maya. Berbeda dengan resiko kemanan internal dimana hanya kalangan terbatas saja terhubung dengan jaringan komputer perusahaan, di dalam dunia maya, puluhan bahkan ratusan juta individu maupun kelompok saling terhubung satu dengan yang lain – sehingga secara langsung meningkatkan kompleksitas dan mempertinggi resiko terjadinya tindak kejahatan terhadap perusahaan melalui pencurian maupun pengrusakan terhadap informasi yang mengalir di internet.
Paling tidak ada tiga jenis resiko keamanan yang dapat terjadi dalam konteks relasi ini:
Resiko keamanan yang berpotensi mendatangkan kerugian bagi konsumen;
Resiko keamanan yang berpotensi mendatangkan kerugian bagi perusahaan; dan
Sumber: Indrajit, 2002
Jenis pertama merupakan ancaman nyata terhadap para konsumen yang menginginkan untuk melakukan transaksi jual beli melalui internet (e-‐commerce). Tindakan kriminal yang telah terjadi di dunia maya dimana dampaknya sangat merugikan para konsumen adalah:
Pencurian nomor kartu kredit, sehingga orang lain yang tidak berhak dapat dengan
leluasa mempergunakannya untuk berbelanja di internet;
Penyadapan data dan/atau informasi yang bersifat ”privacy” dimana sering
disalahgunakan oleh mereka yang mencurinya untuk melakukan hal-‐hal yang tidak diinginkan (spamming, pemerasan, marketing, dll.);
Pengambilan kata kunci rahasia (password) sehingga dapat disalahgunakan orang lain
(melakukan pemesanan palsu, mengganti konten, mem�itnah, mengadu domba, dll.); dan lain sebagainya.
Jenis kedua adalah hal-‐hal yang berpotensi mendatangkan kerugian bagi perusaaan, seperti yang terjadi karena aktivitas kriminal sebagai berikut:
Pemesanan palsu terhadap sejumlah barang yang telah dikirimkan ke konsumen dan
kembali lagi ke perusahaan;
Penjualan produk dan/atau jasa kepada pihak yang tidak berhak;
Tidak dapat diaksesnya situs jual beli karena dirusak (diboikot);
Pengambilan produk digital tanpa meninggalkan catatan jual-‐beli; dan lain sebagainya.
Resiko Keamanan Mitra Bisnis
Seperti halnya pada konsumen, terdapat tiga jenis resiko yang terkait dengan relasi ini, yaitu masing-‐masing:
Resiko keamanan yang berpotensi mendatangkan kerugian bagi mitra bisnis;
Resiko keamanan yang berpotensi mendatangkan kerugian bagi mitra perusahaan;
Resiko keamanan yang berpotensi mendatangkan kerugian bagi kedua belah pihak.
Contoh-‐contoh kasus kejahatan yang berkaitan dengan ketiga jenis kerugian tersebut antara lain:
Pemesanan palsu yang dilakukan oleh pihak yang berhasil masuk ke dalam domain
akses jaringan sehingga pihak pemasok (supplier) mengirimkan bahan baku kepada perusahaan yang tidak membutuhkannya;
Proses autorisasi dan autenti�ikasi yang seolah-‐oleh telah berjalan dengan sempurna
padahal sifatnya semu (menjalankan program aplikasi yang ”ditanam” oleh pelaku kejahatan);
Penggunaan ”signature” palsu untuk melakukan transaksi dan/atau pengaksesan
terhadap dokumen dan arsip rahasia; dan lain sebagainya.
TINGKAT KRITIKALITAS KEAMANAN
Melihat sejumlah kasus yang pernah terjadi – dan beragam trend kejahatan yang mengancam tersebut – perusahaan dapat memilahnya menjadi tiga jenis resiko, yaitu (Indrajit, 2002):
Resiko Besar – keadaan dimana jika terjadi suatu kasus kejahatan tertentu, perusahaan
akan terancam keberadaan atau eksistensinya;
Resiko Menengah – keadaan dimana jika terjadi suatu kasus kejahatan tertentu,
perusahaan akan mengalami kerugian yang cukup signi�ikan walaupun tidak sampai mengancam keberadaannya; dan
Resiko Kecil – keadaan dimana jika terjadi suatu kasus kejahatan tertentu, kerugian
yang terjadi tidak terlampau mempengaruhi kinerja perusahaan secara keseluruhan.
Jika tingkat resiko ini dikaitkan dengan tipe resiko bisnis yang telah dikemukakan sebelumnya, akan dapat diperoleh sebuah matriks yang memperlihatkan portofolio tingkat kritikalitas sistem keamanan jaringan ditinjau dari resiko bisnis terburuk yang dapat ditimbulkan. Secara jelas terlihat dalam matriks tersebut, hal-‐hal mana saja yang termasuk di dalam kategori resiko besar, menengah, dan kecil. Berdasarkan pemetaan ini, terdapat tiga jenis keputusan yang perlu diambil oleh manajemen perusahaan terkait dengan strategi pengembangan sistem keamanan jaringan, masing-‐masing adalah:
Terhadap ancaman kejahatan yang beresiko besar, sewajarnya perusahaan berusaha
Terhadap ancaman kejahatan yang beresiko menengah, perusahaan biasanya akan mengadakan perhitungan cost-‐bene�it mengingat ancaman yang ada terkait dengan hilangnya sumber daya �inansial. Pada saat ini biasanya perusahaan akan menganggarkan keuangannya secara wajar sesuai dengan resiko yang dihadapi.
Terhadap ancaman kejahatan yang beresiko kecil, biasanya perusahaan memutuskan
untuk membangun sistem keamanan dengan standar minimum saja.
Sumber: Indrajit, 2002
PERHITUNGAN COST-‐BENEFIT
Dari matriks yang sama, dapat dilihat adanya 9 (sembilan) jenis kategori perhitungan cost-‐ bene�it yang dapat dijadikan pedoman bagi para pengambil keputusan. Berikut adalah penjelasan dari masing-‐masing skenario dimaksud (Indrajit, 2002).
Investasi ”Resiko Besar”
Prinsip yang dipergunakan di dalam kategori ini adalah perusahaan harus secara mutlak memiliki sistem keamanan jaringan – jika tidak ingin suatu ketika nanti gulung tikar pada saat terjadi kasus kejahatan. Jadi keberadaannya bersifat mutlak. Ditinjau dari segi manfaat (bene�it), jelas terlihat bahwa dengan adanya sistem jaringan keamanan yang baik, perusaaan ”terbebas” dari sebuah resiko yang mengancam eksistensinya. Justi�ikasi biaya (cost) yang harus dikeluarkan, sangat terkait erat dengan domain resiko keamanan yang ada:
Pada Domain Relasi Internal, biasanya biaya yang harus dikeluarkan untuk melindungi
perusahaan dari ancaman kejahatan jaringan tidak lagi sekedar menjadi sebuah biaya investasi, tetapi lebih merupakan sebuah ”overhead” – yang dibebankan sebagai biaya operasional – sehari-‐hari karena sifatnya yang mutlak. Secara kontinyu dan berkala sistem keamanan jaringannya harus selalu diawasi dan dievaluasi, dan tentu saja diremajakan sesuai dengan perkembangan teknologi baru yang ada.
Pada Domain Relasi Mitra Bisnis, perusahaan memiliki kesempatan untuk dapat
Pada Domain Relasi Konsumen, keadaan cukup berbeda, mengingat banyaknya jumlah konsumen yang perlu dilayani. Dalam kerangka ini, usulan implementasi anggaran ”tak terbatas” dapat dilakukan dengan cara mengajak pihak ketiga untuk bersama-‐sama berinvestasi dalam mengelola resiko yang ada. Contohnya adalah perusahaan asuransi yang memberikan tawaran perlindungan terhadap transaksi elektronik, dimana jika terjadi kejahatan, yang bersangkutan akan mengganti kerugian konsumen; sementara jika kejahatan tidak terjadi, perusahaan asuransi mendapatkan persentasi dari nilai pro�itabilitas perusahaan ini (terjadi potensi pengurangan pendapatan dan peningkatan biaya yang dapat dikuanti�ikasikan), besarnya investasi yang dikeluarkan perusahaan akan sangat tergantung dari perhitungan tertentu. tersebut kemudian dipakai untuk menghitung nilai investasi sistem jaringan keamanan dan ROI yang terjadi sebagai bahan pengambilan keputusan. Cara kedua adalah dengan menghitung biaya yang harus dikeluarkan seandainya terjadi masalah terkait dengan rusaknya sistem jaringan yang dipergunakan. Katakanlah untuk memperbaikinya, dapat bersama-‐sama membangun sistem unik (proprietary) yang didedikasikan untuk kepentingan bersama. Mengenai keputusan jumlah biaya yang perlu dialokasikan, biasanya selain faktor resiko dilihat pula ”business value” yang dapat dinikmati oleh kedua belah pihak.
Pada Domain Relasi Konsumen, angka besarnya investasi untuk membangun sistem
Investasi ”Resiko Rendah”
Terhadap jenis ancaman beresiko rendah, biasanya prioritas pengembangan sistem keamanan jaringan juga menjadi kecil di mata manajemen perusahaan. Bisa dikatakan keberadaan sistem ini bersifat ”optional” atau ”nice to have”. Paling tidak dalam situasi ini perusahaan memutuskan untuk menginstalasi sistem keamanan jaringan dengan standar paling minimum.
Pada Domain Relasi Internal, manajemen perusahaan biasanya melakukan proses
perbandingan (benchmarking) di perusahaan pada industri sejenis terhadap jumlah alokasi atau persentasi biaya yang didedikasikan untuk membangun dan memelihara sistem jaringan keamanan.
Pada Domain Relasi Mitra Bisnis, ada kesempatan dimana perusahaan ”melimpahkan”
atau memberikan keleluasaan kepada mitra bisnisnya untuk membangun sistem terkait, mengingat keberadaan sistem ini bagi perusahaan bersifat ”tidak mendesak” sementara mungkin bagi mitra bisnis bersifat sebaliknya.
Pada Domain Relasi Konsumen, hal yang kurang lebih sama terjadi. Mengingat bahwa
kerugian yang diderita perusahaan tidak terlampau signi�ikan, maka faktor resiko dan biayanya, diserahkan atau dilimpahkan kepada para konsumen yang ingin melakukan transaksi. Hal ini akan berjalan secara efektif terutama jika konsumen juga memandang resiko kerugian yang dihadapi cukup rendah seandainya terjadi ancaman keamanan.
Pada akhirnya, pengalaman memperlihatkan bahwa keputusan untuk menentukan apakah perusahaan akan membangun sistem keamanan jaringannya atau tidak akan sangat tergantung dari dua hal utama, yaitu: peranan sistem dan teknologi informasi bagi perusahaan terkait dan pola atau gaya manajemen pimpinan perusahaan. Jika keberadaan atau posisi sistem dan teknologi informasi sangat kritikal bagi perusahaan (terkait dengan peranannya dalam melancarkan rangkaian proses bisnis inti atau ”core processes”), maka jelas permasalahan keamanan jaringan merupakan hal yang mutlak diperhatikan. Sebaliknya jika tidak, maka pemikiran terhadap perlu tidaknya dilakukan pembangunan terhadap sistem keamanan jaringan menjadi hal yang tidak mendapatkan prioritas utama. Ditinjau dari gaya kepemimpinan, seorang ”risk taker” biasanya justru berani mengambil resiko dengan cara tidak perlu memperhatikan sungguh-‐sungguh terhadap isu keamanan ini; sementara seorang ”risk averse” biasanya justru tertarik untuk mencari jalan bagaimana agar segala resiko yang mengancam kelanggengan usaha bisnisnya dapat diminimalisasi.
Seperti yang sering terjadi dalam fenomena kehidupan sehari-‐hari, seorang kepala rumah tangga tidak akan pernah ber�ikir untuk menyisihkan sebagian pendapatannya guna membeli sistem alarm rumah, sampai tetangga atau teman dekatnya mengalami musibah perampokan.