Konsep Sistem Informasi : Keamanan Data dan Vendor IT

Maret 2, 2011

Setiap perancang sistem, atau seseorang yang mengatur sebuah sistem informasi biasanya terlupakan untuk masalah Keamanan Data, pada kebanyakan selalu berfikir bahwa sebuah sistem itu yang utama adalah online dan yang kedua barulah keamanan, hal tersebut umum dan wajar terjadi karena memang alasan klasiknya adalah kebutuhan management/perusahaan yang terdesak (butuh cepat), dan pada kebanyakan sebuah sistem informasi pada tahap kelahirannya saat fase terakhir hanya sampai proses UAT atau User Acceptance Test dengan beberapa test case yang diajukan oleh designer sistem, ketika User mampu dan faham cara mengoperasikan sistem berikut dengan fitur-fiturnya sampai disini testing sistem selesai, biasanya pihak Audit IT dikesampingkan karena kalau sudah keterkaitan dengan pihak Audit akan lama proses realisasi sistem tersebut untuk segera digunakan untuk operasional.

Idealnya, sebelum UAT pihak Auditor harus diikut sertakan dalam ujicoba aplikasi terutama untuk masalah keamanan sistemnya dari segala layer mungkin bahasa kasarnya adalah AAT (Attacker Acceptance Test) mengingat tidak semua User itu bodoh, dan tidak semua orang yang disekitar User itu bodoh, segala kemungkinan dari segala ancaman keamanan data harus ditanggulangi dari awal minimal mengurangi resiko-resiko yang berakibat kerugian finansial yang bersifat efek domino.

Untuk sistem yang dibangun dan dikelola sendiri mungkin masih dalam pengawasan dan genggaman yang ketat baik dari sisi luar maupun sisi dalam sistem informasi, namun bagaimana dengan sistem yang dibangun apalagi sampai dikelola oleh pihak ketiga (Vendor) atau Outsourcing? berapa persen keyakinan bahwa sistem yang dipercayakan kepihak ketiga itu aman? apalagi sistem yang dipercayakan kepihak ketiga itu adalah sistem yang bersifat transaksional yang berisi data confidential, atau mungkin sistem tersebut merupakan pendukung dari pada sistem transaksional, terutama diwilayah Banking Industry, integritas dan keamanan Data adalah yang utama, walaupun pada kenyataannya masih banyak yang tidak sadar bahwa sistem mereka dibawah kangkangan Vendor IT.

Berikut ini adalah contoh dan tidak ada maksud mendiskreditkan sesuatu perusahaan atau sesuatu produk, Sebuah perusahaan yang bergerak dibidang perbankan, perusahaan tersebut sedang membangun sistem jaringan dan keamanannya, entah dari mana mindset itu timbul, setiap perusahaan Banking di Indonesia kebanyakan menggunakan produk buatan orang-orang pintar Israel, setelah itu menggunakan produk-produk buatan Amerika, dan Jerman. Misal produk itu kita namakan “N” produk ini digunakan sebagai Tembok Api utama yang notabene produksi dari Israel, posisi paling depan dari sebuah topologi jaringan yang berhadapan dengan jaringan luar (internet), dan data yang melewati tembok api “N” dari jaringan lokal ke jaringan internet ataupun sebaliknya ini berisi data-data transaksional misal: internet banking, akses VPN, akses ke situs-situs rahasia negara seperti sistem pelaporan keuangan, atau akses ke sistem-sistem anti pencucian uang, akses ke sistem-sistem pihak ketiga, akses ke sistem-sistem core banking, dan akses ke sistem-sistem lainnya yang level keamanannya sangatlah tinggi.

Yap, Sabotase, atau proses take over yang tidak diizinkan ternyata dapat mudah terjadi, analoginya seperti pipa-pipa Air PDAM, semua air disalurkan ke pelanggan, tapi dari pipa-pipa besar tersebut bisa saja terjadi pencurian Air yang tidak diketahui PDAM dan juga tidak diketahui Pelanggan, lalu bisa juga proses sabotase pipa PDAM dengan cara memasukkan cairan Poison pada pipa utama, lalu pelanggan semua dengan mudah terkapar tanpa daya. Sama halnya dengan sistem informasi, boleh kita percaya dengan pihak ketiga, tapi harus tetap waspada, selalu lakukan pengecekan, karena bukan hal yang tidak mungkin jika ternyata semua data yang melalui produk “N” ini di endus oleh negara atau suatu kelompok yang tidak berkepentingan memperoleh data confidential ini, dan bukan hal yang tidak mungkin juga kalau ternyata melalui produk “N” ini bisa digunakan sebagai senjata kejahatan Cyber yang siap sedia kapanpun dan dimanapun produk “N” ini berada yang hanya dengan sekali klik semua “Zombie” bisa hidup dan patuh terhadap Tuannya, dan bayangkan jika semua Akses data rahasia yang telah disebut sebelumnya ternyata sudah diendus oleh produk “N” ini, bukan hanya perusahaan, tapi juga Negara pengguna produk “N” yang sudah menjadi kangkangannya.

Mengerikan memang, Kalau sudah bicara tentang keamanan sudah pasti bicara juga tentang prasangka buruk dan paranoid, waspada adalah yang utama, bijak dalam menggunakan teknologi, bijak dalam manajerial sistem informasi. Jadi tidak perlu heran juga jika Seorang teman saya pernah jujur dan bercerita kepada saya bahwa dia sebagai vendor sudah memegang data username dan password dari server internet banking tanpa sepengetahuan pihak yang memiliki otoritasnya, dan tidak usah heran juga kalau ternyata Ponsel yang anda gunakan berkomunikasi, sistem enkripsi datanya yang membuat adalah Israel, dan yang mampu meretas kode enkripsinya hanyalah si Pembuatnya bukan? dengan begitu sangatlah mudah bagi mereka untuk sekedar dekripsi data maupun meng-intersepsi komunikasi. Sebuah konsep sistem informasi alangkah baiknya dilihat dari sisi keamanan dahulu.

“kejahatan terjadi bukan hanya karena ada niat pelaku, tapi kejahatan bisa terjadi karena ada kesempatan”

 

_psyCHo Original Thinking | Never Crossing in My Mind

Iklan

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: