Cyberthreat.id - Kasubdit Identifikasi Kerentanan dan Penilaian Risiko Perdagangan Berbasis Elektronik Badan Siber dan Sandi Negara (BSSN), Intan Rahayu, mengatakan minimnya komitmen para pimpinan di instansi/lembaga menimbulkan persoalan beruntun. Efek yang ditimbulkan bisa kemana-mana, termasuk kelalaian SDM hingga efek ke operasional, sementara digitalisasi tumbuh dengan cepat di masa pandemi Covid-19.

"Masing-masing instansi, masing-masing organisasi sudah menyelenggarakan IT untuk layanan publik, baik untuk bisnis dan internal," kata Intan dalam webinar, Selasa (14 Juli 2020).

Minimnya komitmen keamanan informasi kemudian berdampak kepada mindset yang salah. Kesalahan ini terjadi merata, mulai dari pucuk pimpinan hingga ke level paling bawah. Sebagai contoh, kata Intan, banyak instansi/lembaga yang menitikberatkan operasional pada aspek teknologi saja.

Menurut Intan, kebanyakan mereka berpikir bahwa dengan kehadiran teknologi semua masalah selesai. Mindset inilah yang bisa berakibat fatal karena setelah proses dan teknologi harus diikuti oleh policy atau kebijakan.

Itu sebabnya banyak instansi yang keamanan informasi atau cybersecurity-nya hanya melibatkan pada aspek teknologi saja, tanpa melihat manusia dan prosesnya. Bahkan, yang lebih parah lagi, masih ada pimpinan yang menganggap keamanan informasi itu sebatas teknis dan supporting saja.

"Banyak yang (berpikir) penting ada dulu, yang penting jalan dulu, yang penting beroperasi dulu, sehingga tidak diperhitungkan dari sisi kebijakan ataupun sumber daya yang dimiliki," ujar Intan.

Sertifikasi dan SDM

Komitmen para pimpinan juga diwujudkan dalam pembentukan tim penerapan Sistem Manajemen Keamanan Informasi (SMKI). Misalnya sebuah instansi yang wajib melakukan risk analysis hingga mitigasi risiko. Persoalan ini memerlukan biaya/anggaran yang harus disiapkan, tetapi mindset ini tidak dimiliki oleh para pimpinan untuk berinvestasi di sektor keamanan.

Selanjutnya ruang lingkup penerapan keamanan informasi yang belum dipahami. Misalnya kesadaran (awareness) terhadap ancaman dan risiko keamanan siber di semua level, dimana masing-masing level berbeda. Intan menuturkan, kebanyakan orang belum mengerti apa ruang lingkup yang harus diterapkan dalam keamanan informasi.

"Karena ruang lingkup terkait dengan siapa yang harus melakukan apa. Jadi ini harus dipahami bahwa kita harus menentukan ruang lingkup pada saat kita ingin menerapkan keamanan informasi atau cybersecurity," ujarnya.

Permasalahan selanjutnya adalah belum dapat mengidentifikasi risiko keamanan informasi. Diperlukan pemahaman suatu standar keamanan yang dapat diterapkan pada semua level.

Adapun pelaksanaan dalam pengelolaan keamanan informasi belum dicatat secara rutin. Ini menimbulkan kesulitan dalam menganalisa insiden yang mungkin terjadi. Disinilah perlunya SMKI yang didukung penuh oleh pimpinan dalam bentuk kebijakan, standar, dan prosedur yang diterapkan dan dipatuhi. 

"Nah, pada saat ini kebanyakan kita melakukan ganti password, kita melakukan akses yang ketempat terbatas, kita melakukan pembatasan dari akses juga dari aplikasi kita, tapi ini semua belum dicatat, itu masalahnya. Akibatnya, ketika terjadi insiden, apalagi ketika transaksi atau layanan transaksi, kita tidak mempunyai log atau tempat menyimpan rekamannya," ungkap Intan.

Terakhir adalah kurangnya kuantitas dan kualitas SDM yang menangani keamanan informasi. Intan menekankan perlunya peningkatan kompetensi SDM yang didukung oleh pimpinan, seperti memberikan waktu luang untuk mempelajari segala hal terkait keamanan informasi.

"Sebetulnya peningkatan kompetensi ini bisa dengan berbagai cara, bisa sharing antar internal atau belajar dari video. Tidak butuh biaya, tapi butuh waktu karena keamanan informasi itu akan selalu update sehingga harus selalu mengupdate pengetahuan, ataupun skill dan kompetensi."

Sebagai gambaran, di Indonesia belum banyak yang memiliki sertifikasi, misalnya, ISO 27001 SMKI. Menurut Intan, yang menerapkan SMKI sudah ada, tapi belum banyak. Berdasarkan data, yang menerima sertifikasi baru 179 dan dari Kominfo sudah mendapatkan 1578 PSE sampai akhir tahun 2019.

"Baru 4 persen yang tersertifikasi," tegasnya.[]

Redaktur: Arif Rahman