Tips Pengamanan Data Kantor Saat Liburan

Tips Pengamanan Data Kantor Saat Liburan

The Silicon Roundabout In Old StreetJakarta – Ditinggal liburan oleh sebagian besar karyawan, kantor dinilai cukup rentang diserang hacker. Bukan tidak mungkin, mereka mengambil data yang sangat penting sehingga langkah antisipasi sangat diperlukan.

Berikut ini adalah beberapa prosedur penyusunan IT-Security Policy yang biasa diberikan penulis kepada beberapa perusahaan sebagai langkah awal bagi perusahaan yang membutuhkan penyusunan IT-Security Policy plan, sebagai berikut:

1. Kepedulian Terhadap Keamanan Informasi

Pemahaman dan peduli terhadap keamanan informasi ini sangat penting bagi perusahaan, khususnya para SDM yang terlibat di dalamnya. Tidak hanya petugas keamanan (security) saja yang bertanggungjawab terhadap hal ini, akan tetapi seluruh SDM harus tanggap darurat dalam melindungi informasi di perusahaan.

2. Pernyataan Terhadap Otoritas, Ruang Lingkup & Tanggung Jawab

Perusahaan harus mengumumkan siapa yang paling bertanggung jawab dalam hal keamanan informasi, apalagi dimasa liburan akhir tahun, siapa melindungi apa dan sebagainya.

Hal ini sangat perlu dilakukan dan diumumkan sehingga bila terjadi insiden keamanan maka sudah ditentukan bagaimana untuk mengatasinya. Apakah harus menghubungi aparat keamanan, apakah harus menghubungi vendor mesin, apakah harus menghubungi konsultan keamanan, semua harus jelas dan terstruktur.

3. Ruang Lingkup Keamanan Informasi

Ruang lingkup keamanan informasi sangat penting diterapkan di perusahaan. Mengingat sangat luasnya cakupan dari ruang lingkup keamanan informasi tersebut, hal yang paling mendasar, SDM harus tahu cakupan dari keamanan informasi yang melekat kepada dirinya. Sebagai contoh, keamanan informasi untuk staf bagian/departemen marketing, warehouse, human resource dll, memiliki cakupan yang berbeda.

Bahkan di dalam departemennya sendiri, seorang staf memiliki ruang lingkup/otorisasi yang berbeda, dalam hal siapa boleh mengakses apa. Ini sangat penting, bila tidak, maka informasi akan keluar dari organisasi dan dapat digunakan oleh orang lain dan tentu saja mengambil keuntungan darinya.

4. Keamanan Fisikal (Physical Security)

Pusat Komputer atau Data Center merupakan jantung dari keamanan informasi, karena semua data dan informasi ada disini. Keamanan fisikal yang dimaksud disini adalah keamanan sisi fisikal dari si mesin, aman dari gangguan alam, bencana, iklim, cuaca, binatang dan manusia, dengan kata lain keamanan secara kasat mata dari si mesin, agar terhindar dari segala macam gangguan fisik yang tidak diinginkan.

5. Kebijakan Akses ke Dalam Sistem

-, E-Mail: Akses terhadap E-Mail ini sudah diatur oleh institusi, setiap SDM berhak untuk memiliki email dan wajib untuk melindunginya, karena informasi dapat masuk dan keluar dari email SDM. Maka perlu diatur penggunaannya, apalagi disaat liburan, di mana banyak email akan stagnan, menumpuk di server email perusahaan, dan dapat mengalami kemacetan.

 

Mungkin saja setiap karyawan perusahaan menerima 1 sampai 100 email perhari, bayangkan bila ada ada 100 karyawan yang libur dan menumpuk email maka pada saat diakses email di server maka akan ada 100×100=10.000 email perhari yang akan disimpan dan menunggu untuk diakses oleh si pemilik sampai email tersebut dibuka.

-, File Storage: Akses terhadap storage ini gampang-gampang susah, karena banyak sekali karyawan yang menyimpan data-data pribadi di storage perusahaan, sudah diingatkan oleh perusahaan bahwa data-data pribadi karyawan sebaiknya tidak disimpan di file server perusahaan, tetapi pada kenyataannya, banyak sekali tumpukan file, dokumen dll diserver, dan ini juga akan membebani akses server termasuk kapasitas file server akan menurun dengan cepat bila tidak diawasi dan tidak dilakukan audit keamanan informasi.

-, Web: Akses terhadap web seringkali dilakukan oleh karyawan tidak pada tempatnya, terkadang mengakses hal-hal yang tidak ada hubungannya dengan pekerjaan dan bersifat pribadi, seperti media social di web yang seharusnya dapat dilakukan dirumah tetapi dilakukan di tempat kerja, nah pada liburan ini akses terhadap web yang tidak perlu akan menurun, ada untungnya juga, karena perusahaan tidak perlu membayar bandwidth untuk hal-hal yang tidak perlu sehingga akan lebih efisien.

-, Internet: Akses internet ini hampir sama dengan akses terhadap web hanya penekanannya lebih kepada penggunaan dan efisiensi bandwidth, perusahaan membayar bandwidth tidak murah, dan sharing bandwidth ini perlu dipikirkan dengan baik, katakanlah setiap 1 MBps = Rp 1 juta, maka bila kita berlangganan 10 MBps = Rp 10 juta, bila 10 MBps dipakai oleh 100 orang maka dapat dikatakan setiap orang dibayarin bandwidthnya oleh perusahaan sebesar 10.000 Rp., sehingga kebijakan menggunakan bandwidth ini perlu ditata dan dikendalikan dengan baik, termasuk menggunakan firewall untuk mengontrol internet perusahaan.

-, Jaringan (LAN): Setiap karyawan yang terhubung ke LAN perusahaan harus tercatat dengan baik, karena dengan peta LAN yang baik, maintenance terhadap jaringan LAN tersebut akan lebih mudah dilakukan. Termasuk bila terjadi insiden keamanan informasi akan lebih mudah ditelusuri, bila perusahaan memiliki puluhan server dan ratusan/ribuan user, maka sangat penting untuk memiliki peta LAN. Dengan bantuan berbagai tools sangat mudah untuk memitigasi terjadinya insiden, karena semua log di mesin server dan user akan tercatat dengan baik.

6. Kebijakan Remote Akses ke Pusat Data/Informasi

Kebijakan untuk melakukan remote akses ke pusat data/informasi ini sangat penting dan perlu diatur, ada prosedur tertentu untuk keamanan informasi di server-server remote. Memang kebutuhan terhadap remote akses ke system saat ini sangat diperlukan, apalagi di jaman internet, kebutuhan akses data jarak jauh penting dan perlu.

Bila user sedang berada jauh dari system, informasi harus dapat diakses. Bila tidak, wah betapa tertinggalnya perusahaan tersebut, dapat dikatakan terasing dan terisolir, tetapi remote akses ini juga dipakai sebagai jalan masuk dan keluar para hacker untuk mengambil data/informasi yang ada diserver-server penting.

Saat liburan, perusahaan harus sudah mengatur kebijakan untuk melakukan remote akses, biasanya hanya port-port tertentu dan server-server mirroring yang dibuka, dengan tujuan bila ada gangguan/incident maka server-server core/utama tidak mengalami gangguan7. Keamanan Data/Informasi.

Kebijakan keamanan data/informasi ini merupakan hal yang paling penting bagi perusahaan, data/informasi perlu dilakukan proteksi dan perlindungan hukum, siapa dan boleh mengakses apa, diperlukan di dalam menyusun kerangka perencanaan IT-Security Policy.

Bila perencanaan ini salah dari awal, maka di tengah dan diujung proses pengolahan data akan terjadi kekacauan, user tidak dapat disalahkan begitu saja dan diajukan ke penegak hukum, bila kebijakan tidak sempurna. Maka dari itu kebijakan ini merupakan dasar untuk perlindungan data/informasi (data protection law), dengan hal ini, pertanggung jawaban user dan perusahaan terhadap perlindungan data dapat dilakukan bersama dan transparan.

8. Kebijakan AntiVirus

Antivirus ini dapat dijadikan tameng untuk perlindungan data/informasi perusahaan dari gangguan Trojan/virus yang mengganggu. Sebab, virus/Trojan bisa melakukan perusakan, editing bahkan pencurian data/informasi di dalam perusahaan.

Kebijakan antivirus ini juga harus diatur, karena perusahaan seyogyanya tidak menerapkan antivirus gratisan atau mungkin open antivirus, karena antivirus gratisan tidak dapat dipertanggungjawabkan dan bahkan cenderung dimuati Trojan, botnet, spyware dan berbagai macam aplikasi yang dapat merugikan perusahaan. Bila terjadi insiden dan gangguan sulit untuk melakukan penuntutan hukum kepada si pembuat antivirus.

9. Kebijakan Dokumentasi

Setiap perusahaan memiliki kebijakan di dalam melakukan dokumentasi yang berkaitan dengan berbagai macam tentang teknologi informasi, infrastruktur, database produk, SDM dan pelanggan, design dan implementasi bahkan sampai kebijakan IT-Security. Biasanya perusahaan-perusahaan yang sudah maju di dalam penerapan kebijakan IT-Security memiliki dokumentasi yang cukup detail.

Sebagai contoh tentang pengelolaan Firewall dan Port-port jaringan, kebijakan untuk menghancurkan sampah data, harddisk, CD/DVD Rom, Flashdisk dsbnya, Dibawah ini contoh daftar dokumentasi beberapa port yang sangat sering dilakukan penetrasi (hacking) oleh para Hacker dan staf yang nakal untuk mencoba-coba menjebol sistem keamanan jaringan dsbnya, sehingga perlu didokumentasikan dan dikelola dengan baik oleh seorang administrator jaringan, walaupun seorang admin datang dan pergi di perusahaan tersebut tapi dokumentasi harus terjaga rapi, seperti port:

TCP port 20 dan 21 -> FTP (File Transfer Protocol)
TCP port 23 -> Telnet (Terminal Emulation)
TCP port 25 -> SMTP (Simple Mail Transfer Protocol)
TCP dan UDP port 53 -> DNS (Domain Name System)
TCP port 80 dan 443 -> HTTP dan HTTPs (Hypertext Transfer Protocol)
TCP port 110 -> POP3 (Post Office Protocol version 3)
TCP dan UDP port 135 -> RPC
TCP dan UDP port 137 – 139 -> NetBIOS over TCP/IP
TCP dan UDP port 161 -> SNMP (Simple Network Management Protocol)

Penutup
Masa liburan akhir tahun merupakan masa yang menyenangkan dan ditunggu-tunggu oleh berbagai kalangan, baik level direksi sampai dengan tukang sapu. Nagaimana jadinya bila selesai liburan kita malah disibukkan dengan urusan kehilangan data, masih urusan kriminal bahkan sampai urusan ke penegakan hukum? Repot bukan?

Untuk itu penulis mengingatkan saja, menjelang liburan apa saja yang sebaiknya dilakukan. Mulai melakukan back-up data, menyimpan baik-baik user id dan password sampai dengan mengatur jadwal mengawasi keamanan data/informasi perusahaan baik pribadi maupun team work. Yang paling menjengkelkan adalah bila kita selesai liburan tetapi malah disuruh libur seterusnya oleh perusahaan kita bekerja, alias dipecat karena tidak kompeten di dalam mengurus data perusahaan.

*Penulis : IGN MANTRA, CEI, ECE, Dosen & Peneliti Cyber Security, Cyber Defence, Cyber War. Saat ini bekerja dan Ketua Indonesia Academic CERT/CSIRT. Monitoring Control dan Security Incident Handling @Lab. Cyber Security ABFII Perbanas, Jakarta, DCC Lampung, Email. mantra@acad-csirt.or.id.

sumber : inet.detik.com