.webp)
Karena biasanya pada bulan Desember, kantor-kantor juga ikut ditinggal para engineer yang pergi. Bila sudah begini, sistem keamanan informasi juga akan 'bolong-bolong'.
Nah, para hacker menyukai keadaan seperti ini, mereka sejak dini sudah mulai mencoba-coba sistem keamanan yang bolong-bolong tersebut, dan bila kesempatan sudah didapat maka penetrasi yang lebih dalam akan dilakukan pada saat liburan tiba.
SCROLL TO CONTINUE WITH CONTENT
Penulis mencoba melakukan survei kecil ke beberapa perusahaan besar. Walaupun tidak resmi, tetapi dapat dijadikan masukan seperti apa perusahaan mereka memperlakukan dan menyikapi liburan. Setelah melakukan beberapa survei dan memberikan pertanyaan kepada user sampai ke middle management dapat diambil beberapa ringkasan. Simak berikut ini.
1. Bagaimana mengamankan data pribadi komputer anda ?
Beberapa user menjawab, mereka melakukan back-up ke hardisk eksternal, ada yang membackup ke file server, ada yang tidak melakukan apa-apa alias biarkan saja di kantor, toh aman-aman saja kok.
Apakah anda mematikan peralatan komputer, printer, ups yang berdekatan dengan wilayah kerja anda ?
Beberapa user menjawab, mereka mematikan komputer, printer, ups dsb yang berdekatan dengan mereka, tetapi ada juga yang menjawab, serahkan saja pada engineer bidang IT dan maintence yang akan mematikan. Yang lebih mengagumkan yaitu menyerahkan semuanya kepada Office Boy kantor (cleaning service yang notabene tenaga outsourcing).
2. Apakah anda mengingat dan menyimpan password login user dengan baik ?
Ternyata beragam jawaban yang didapat dari para user, ada yang menyimpan di ponsel/ gadget, ada yang menyimpan di kertas dan dimasukkan ke dompet, ada yang menyimpan di buku, dan yang lebih parah ternyata ada yang menyimpan di kertas dan ditempelkan di balik meja supaya tidak dibaca orang dan ada yang menempelkan di balik keyboard atau tempat yang tersembunyi di dekat meja.
Apakah anda melimpahkan tugas-tugas yang berhubungan dengan informasi perusahaan ke orang lain, atasan, bawahan ?
Beragam jawaban didapat dari beberapa user yang akan berlibur. Kebanyakan mereka melimpahkan kepada rekan setim yang tidak libur dan ternyata sampai ke password login ke akses informasi terpenting (sensitive) diberikan ke rekan tim tersebut. Dengan kata lain selama liburan mereka tidak ingin diganggu dan bila ada apa-apa password login dapat dibuka oleh rekan setim tersebut. Apakah ini hal yang benar?
Beberapa orang melimpahkan kepada administrator system keamanan secara tidak resmi bahkan ada yang melimpahkan semuanya kepada atasan langsung. Silakan dipikirkan sendiri mana yang menurut anda yang gak relevan dengan policy di perusahaan anda.
3. Apakah anda bisa dihubungi selama liburan ?
Kebanyakan mereka menjawab tidak mau dihubungi selama liburan, kalau libur ya libur tidak ada urusan dengan pekerjaan lagi. Bila ada apa-apa dengan akses informasi terpenting silahkan hubungi saja administrator, atasan saya, bahkan rekan satu tim yang paling tahu dengan akses informasi terpenting (sensitif) tersebut. Hmmm.
Β 4. Bagaimana bila akses informasi terpenting terganggu selama liburan
Beberapa orang menjawab, kan ada administrator, bukankan mereka yang bertanggungjawab terhadap semua sistem? Ada yang menjawab saya akan datang ke kantor bila memang diperlukan dan mendesak. Yang paling parah ada yang menjawab, bukan urusan saya, karena saya sudah mengajukan cuti liburan.
5. Apakah operasional di kantor anda juga libur selama liburan ?
Ada beberapa orang menjawab, iya libur total, ada yang menjawab, tidak semuanya libur karena gantian, ada yang menjawab kantor tetap buka seperti biasa.
Beberapa pertanyaan sederhana yang diajukan penulis kepada sekitar 30 orang di 10 perusahaan yang berbeda, jawabannya sangat beragam. Kesimpulan yang diambil sementara, bila karyawan sedang cuti liburan maka yang bertanggung jawab penuh kepada keamanan system informasi adalah manager/atasan langsung, kemudian kepada administrator system/IT dan yang terakhir adalah rekan satu team yang tidak libur.
Bila sudah begini, yang babak belur adalah manager/atasan langsung bila terjadi apa-apa dengan keamanan system informasi, bukankah keamanan informasi adalah milik bersama? Nah, beberapa perusahaan menerapkan policy keamanan informasi, termasuk pada saat pada hari libur. Simak prosedurnya pada tulisan selanjutnya.
*) Penulis : IGN Mantra, CEI, ECE, Dosen & Peneliti Cyber Security, Cyber Defence, Cyber War. Saat ini bekerja dan Ketua Indonesia Academic CERT/CSIRT. Monitoring Control dan Security Incident Handling @Lab. Cyber Security ABFII Perbanas, Jakarta, DCC Lampung, Email. mantra@acad-csirt.or.id.
(fyk/tyo)
Tautan telah disalin