Cyberthreat.id – Sekadar patuh terhadap standar keamanan, tidaklah cukup untuk membangun sebuah proteksi dan deteksi ancaman siber yang komprehensif.

Oleh karenanya, menurut Vice President IT Security DANA  Indonesia, Andri Purnomo, dalam menerapkan proteksi dan deteksi dari ancaman siber perlu berpikir layaknya peretas. Hal ini yang diterapkan dirinya di DANA.

"How to be thinking as a criminal," dia dalam sedaring bertajuk "Fondasi Keamanan Siber untuk Lembaga Finansial", Selasa (19 Januari 2021).

Yang dimaksud sebagai “cukup” memenuhi standar adalah mengadopsi ISO 27001 sebagai standar manajemen keamanan informasi dan PCI-DSS (The Payment Card Industry Data Security Standard) sebagai standar keamanan tinggi setingkat keamanan perbankan.

Andri mengatakan, segala buatan manusia, khususnya di bidang teknologi informasi, tak ada yang sempurna sehingga, “Tetap ada ruang kelemahan dan kita sadar itu menjadi potensi diretas suatu saat," kata dia.

"Google atau Facebook dan sebagainya, mereka adalah perusahaan berbasis ISO, tetapi tidak menutup kemungkinan bahwa hacking ini tetap terjadi," Andri menambahkan.

Sebagai perusahaan fintech, pihaknya telah memetakan segala risiko siber yang mungkin terjadi, baik dari sisi internal maupun eksternal.

Dari sisi eksternal, bisa berupa ransomware (serangan enkripsi ke basis data perusahaan dan meminta tebusan), Denial of Service/DoS (membanjiri lalu lintas palsu agar server lumpuh yang berefeknya pada laju bisnis), wallet fraud (pembajakan oleh seseorang), cryptojacking (mengambil seluruh komputasi perusahaan untuk menambang cryptocurrency).

Sementara, sisi internal lebih kepada pembocoran informasi, bagaimana kartu debit dan kartu kredit itu bisa dicuri, serta penggunaan internet yang berdampak pada penyebaran malware.

Untuk memproteksi sistem perusahaan, menurut dia, ada tiga acuan yang diterapkan, yakni:

• mean time to breach (seberapa kuat menahan apabila ada hacker menyerang),
• mean time to detect (seberapa cepat mendeteksi apabila proteksi gagal melindungi), dan
• mean time to respond (ketika telah dideteksi ada kejanggalan seberapa cepat sistem mobilisasi tim di internal sehingga meminimalisir kerusakan).

"Tiga hal ini yang menjadi mindset kami dalam membuat sebuah cybersecurity di DANA," ujarnya yang juga menjelaskan bahwa dalam tim keamanan terbagi dalam tiga, yaitu red team, blue team, dan purple team.

Selain tiga tim itu, DANA juga menunjuk data protection officer  yang tugasnya untuk memproteksi dan mengidentifikasi data pribadi (personally identifiable information/PII). Juga, fokus pada penyimpanan basis data, mengelola akses data, ruang penyimpanan, mengenkripsi data, memecah lokasi penyimpanan, dan sebagainya.[]

Redaktur: Andi Nugroho