DI TENGAH pertumbuhan dan kemunculan perusahaan-perusahaan teknologi baru atayu startup dengan valuasi fantastis, wacana keamanan terasa diabaikan. Unicorn adalah julukan bagi startup yang memiliki valuasi di atas US$1 miliar atau Rp 14 triliun. Dengan valuasi tinggi, malah muncul keraguan mengenai keamanan. Apakah unicorn akan menjelma menjadi keledai?

Kenapa kita perlu keamanan siber?

Kita hampir setiap hari dibombardir oleh peringatan dan berita mengerikan mengenai ancaman siber. Para petinggi perusahaan unicorn itu pun sangat sadar bahwa masalah keamanan sangat penting. Tapi mereka malas berubah, sehingga peringatan-peringatan itu lambat direspon. Tahun lalu, sebuah perusahaan unicorn di Indonesia bahkan telah menjadi korban pembocoran data. Jutaan data pengguna unicorn itu dijual di darkweb oleh si pembobol. Namun mereka cenderung malu mengakui telah jadi korban, dan malas melakukan tindakan pengamanan sebagai pengembangan produk mereka sendiri.

Untuk masalah-masalah seperti itu, sepertinya ada solusi bagus. Perusahaan-perusahaan unicorn mencurahkan sumber daya dan mulai membentuk tim khusus untuk menangani keamanan siber. Tim atau "pasukan" itu bertanggung jawab penuh untuk menjaga keamanan. Sayangnya, pendekatan seperti itu saja ujungnya malah menjadi masalah serius yang berakhir dengan air mata dan kegagalan.

Ada dua jenis tim khusus yang menangani keamanan siber, yaitu yang dibentuk di luar perusahaan dan yang dibentuk sebagai tim internal organisasi. Sayangnya, pasukan penjaga keamanan siber yang terpisah dari organisasi akan selalu dianggap sebagai pemborosan karena membutuhkan biaya tinggi dan berujung pada kejengkelan. Sama halnya, tim yang dibentuk di internal perusahaan tanpa dukungan dari manajemen tertinggi juga tidak akan memiliki gigi yang bisa menggigit.

Jonathan Knudsen, Senior Security Strategist di Synopsys Group menyebutkan bahwa celah keamanan selalu menjadi masalah. Menjaga organisasi dan aset tetap aman tidak mungkin dicapai. Anda tidak akan pernah mencapai 100% aman. Yang terbaik yang dapat Anda lakukan adalah mengurangi risiko. Aman atau tidaknya, tidak hanya sekedar stempel di setiap program pengembangan produk, pengadaan barang, atau apa pun.

Di dunia unicorn, inisiatif pengamanan perangkat lunak (software security inisiative/SSI) harusnya berasal dari pimpinan perusahaan tertinggi. Dukungan dari manajemen tertinggi itulah yang menjadi contoh keamanan SSI Microsoft, yang dimulai sejak 2002 dan berlanjut hingga hari ini. Karena itulah, perusahaan perlu menunjuk seorang chief information security officer (CISO) yang akan berperan sebagai jenderal dan panglima pemimpin pasukan khusus mengurusi keamanan. Dengan dukungan tingkat atas ini, seorang CISO bergabung dengan tim eksekutif untuk mengambil alih keamanan teknologi informasi (IT), keamanan produk, dan respons insiden.

Seorang CISO selain akan mengomandoi pasukan keamanan yang menjaga organisasi perusahaan, juga perlu menumbuhkan budaya dan literasi pemahaman mengenai keamanan. Risiko berkurang hanya ketika budaya keamanan meresapi setiap bagian dari organisasi perusahaan.

Kunci mengurangi risiko itu adalah pendidikan, termasuk perlunya meningkatkan kesadaran keamanan siber (cyber security awarness), kesadaran keamanan operasional, dan pelatihan yang membantu para pengembang perangkat lunak (software developer) menyadari adanya kerentanan ketika mereka menulis kode (coding). Pendidikan juga jangan cuma sekali diadakan terus dilupakan. Perlu upaya pendidikan berkelanjutan, terus update, dan materi yang menarik.

Dalam keamanan IT, tim yang dikomandani CISO harus bisa membuat dan menerapkan kebijakan segala sesuatu mulai dari otentikasi hingga pengadaan.

Dalam keamanan produk, tim CISO bertujuan membantu tim produksi mengadopsi siklus pengembangan yang aman (secure development life cycle/SDLC), yang bertanggung jawab atas keamanan di setiap fase produksi. Pengamanan setiap fase itu harus bisa menjamin pengujian yang lebih baik, yang bisa menemukan lebih banyak dan menghilangkan segera kerentanan sebelum sebuah produk dirilis.

Ketika ada yang salah (dan segala sesuatu selalu salah), sebuah rencana dan kebijakan pengamanan menjadi sangat penting. Kebijakan penting dirumuskan untuk segera merespon insiden secara cepat akan membantu perusahaan meminimalkan kerusakan.

Jadi, apa yang perlu dilakukan segera setelah ini?

Mungkin Anda baru mulai membentuk pasukan cyber security Anda, namun seharusnya Anda dapat segera bergerak cepat untuk mengurangi risiko. Jika Anda benar-benar baru, mulailah dengan mengetahui kebijakan, prosedur, alat, dan tim keamanan Anda saat ini. Jika Anda baru mulai dengan keamanan produk, berusahalah menerapkan SDLC yang tepat, kemudian perkenalkan analisis kode sumber (source code) dan perangkat rantai pasokan perangkat lunak ke dalam rantai penjualan Anda. Jika Anda sudah mengelola rantai pasok (suply-chain), dan menganalisis sumber Anda, tambahkan fuzzing dan pengujian interaktif.

Jika Anda sudah melakukan semua tahapan itu, jangan diam dan langsung puas. Selalu waspada, karena pasti ada ancaman berikutnya. Pastikan peralatan keamanan Anda otomatis dan terintegrasi ke dalam pengembangan Anda. Karena itu, penting disadari, jika ada pelanggaran kebijakan keamanan akan merusak seluruh bangunan. Selalu cek terus menerus dan terus perketat kebitjakan keamanan Anda.

Cyber security atau soal keamanan sebetulnya bukan hanya sekedar menentukan tujuan, melainkan  lebih ke membentuk pola pikir. Harus ditekankan, tujuan dari setiap pasukan cyber security adalah untuk membantu mengangkat moral seluruh organisasi perusahaan menuju sikap positif, proaktif, mengutamakan keamanan dalam setiap aspek pengembangan dan operasional produk. Pada akhirnya, pendekatan keamanan menyeluruh inilah cara paling efektif untuk menurunkan risiko di organisasi.[]