Cybersecurity di Era New Normal
PANDEMI Covid-19 yang bermula di China pada Desember 2019 benar-benar telah mengubah dunia secara drastis. Di sektor teknologi informasi, efek pandemi memaksa terjadinya transformasi digital.
Instansi, perusahaan, dan dunia pendidikan yang harus beradaptasi dengan pembatasan pergerakan manusia, terpaksa menerapkan work from home (WFH) dan school from home (SFH).
Hanya dalam waktu singkat, hitungan bulan, perubahan budaya kerja yang biasanya didominasi tatap muka langsung, bisa dilakukan melalui media digital dengan cukup baik.
Namun demikian, budaya kerja atau interaksi baru ini, yang menjadi sangat tergantung pada infrastruktur internet, ternyata membawa ancaman dari sisi siber. Insiden peretasan terhadap aplikasi video conference pun terjadi.
Bagi sebagian besar institusi, di era "new normal"–kosakata yang begitu populer belakangan hari ini–dunia kerja setidaknya akan menghadapi kenyataan baru. Pertama, berlanjutnya work from home. Dalam berbagai riset psikologi, disepakati bahwa dibutuhkan 21 hari untuk menanamkan kebiasan baru bagi manusia. Tentu saja, tiga bulan WFH, sudah lebih dari cukup untuk menjadikan itu sebuah budaya.
Apalagi manajemen sejumlah perusahaan mulai menemukan sejumlah “keuntungan” dari WFH ini, seperti berkurangnya biaya rapat dan perjalanan dinas. Demikian juga dengan kebutuhan ruang kantor yang berkurang drastis.
Bagi karyawan, WFH berarti berkurangnya biaya transportasi yang nilainya cukup signifikan dari porsi gaji. Juga, keuntungan bisa bersama keluarga yang selama ini mungkin hanya bisa dilakukan di akhir pekan.
Tidak heran kalau perusahaan teknologi besar semacam Facebook, Google, dan Twitter telah mengumumkan bahwa WFH akan menjadi cara kerja baru mereka ke depan.
Kedua, akselerasi digitalisasi. Budaya baru WFH tentu meningkatkan kebutuhan terhadap infrastruktur digital. Selain itu sejumlah institusi pasti juga mulai melihat bahwa ternyata ketidakhadiran fisik manusia, bisa digantikan oleh mesin dengan sama baiknya.
Jadi, transformasi digital yang “dipaksa” oleh Covid-19 akan dipercepat dengan semakin banyaknya adopsi teknologi, seperti cloud computing, artificial intelligence, dan internet of things (IoT).
Menghadapi kondisi new normal tersebut , World Economic Forum mensinyalir sejumlah risiko yang akan dihadapi oleh organisasi/perusahaan. Risiko serangan siber (cyberattack) dan pemalsuan data (data fraud) menempati posisi ketiga, seperti bisa dilihat di gambar berikut:
Menyikapi hal ini, dalam report terbarunya Worl Economic Forum memformulasikan sejumlah langkah yang perlu diambil oleh pemangku keamanan informasi di dalam organisasi. Setidaknya ada lima hal yang harus menjadi perhatian.
Pertama, redefinisi perimeter keamanan. Selama ini, sebagian besar organisasi, mendefinisikan perimeter keamanan siber hanya berfokus pada jangkauan jaringan network milik mereka. Atau paling jauh, mereka akan mengamankan layanan cloud based yang dimiliki.
Tapi dengan kondisi WFH ini, dimana karyawan bekerja melalui jalur internet publik, maka perimeter keamanan harus diperluas menjangkau setiap device yang digunakan oleh karyawan. Dan, tentu saja ini memerlukan pendekatan dan strategi yang berbeda
Kedua, menumbuhkan budaya ketahanan siber (cyber resilience). Sebagian besar insiden keamanan siber, terjadi melibatkan faktor manusia, misalnya, karena faktor rekayasa sosial (social engineering).
Dalam kondisi WFH seperti ini, maka faktor manusia akan semakin menentukan karena seperti dijelaskan diatas, perimeter keamanan akan semakin bertumpu pada perangkat yang dipegang langsung oleh personil.
Ketiga, mendorong praktik cyber hygiene. Menjaga higienis dengan mencuci tangan dan menggunakan masker menjadi praktek wajib di era new normal ini.
Demikian juga untuk menjaga keamanan siber, praktik cyber hygiene sebagai bagian dari budaya ketahanan siber harus sering dikampanyekan. Misalnya, dengan tidak menggunakan perangkat milik kantor untuk mengunjungi situs yang “tidak jelas” atau tidak sembarangan klik link atau attachment yang diterima melalui email tanpa memastikan pengirimnya dan keperluannya apa.
Keempat, menerapkan prinsip “zero trust” terhadap penggunaan aplikasi. Kondisi new normal mungkin memaksa organisasi untuk menggunakan atau mengadopsi sejumlah aplikasi baru untuk mendukung produktivitas kerja.
Misal, belajar dengan Zoom, tapi kemudian diketahui ternyata Zoom memiliki sejumlah flaw (cacat) yang bisa dieksploitasi oleh para kriminal siber.
Ke depan, prinsip zero trust harus dikedepankan oleh organisasi/perusahaan sebelum mengadopsi aplikasi baru. Walaupun populer, sebuah aplikasi belum tentu terjamin keamanannya.
Kelima, mengambil pendekatan sistemik terkait cyber risk management. Dengan semakin bergantungnya kita terhadap infrastruktur teknologi informasi, dan semakin meluasnya perimeter keamanan yang harus dijaga, maka manajemen risiko keamanan siber harus dilakukan secara sistemik.
Hal itu bukan lagi hanya menjadi tanggung jawab dari unit teknis, melainkan harus menjadi perhatian dari unit bisnis bahkan seluruh stakeholder di organisasi. Ini menjadi langkah penting agar mitigasi dari risiko keamanan siber bisa berlangsung dengan lebih baik
Semoga dengan menerapkan langkah-langkah di atas kita semua bisa lebih siap dalam mengelola risiko-risiko keamanan siber, yang muncul berbarengan dengan perubahan budaya kerja kita di era new normal ini.[]
Penulis adalah praktisi keamanan informasi juga pemegang sertifikasi Certified Chief Information Security Officer (CCISO).