Dosen Pengampu:
Disusun oleh:
KELOMPOK 3
Perbanas Institute
Fakultas Ekonomi dan Bisnis
Program Studi Manajemen Kelas Karyawan
Tahun 2021
BAB I PENDAHULUAN
A. Latar Belakang
Kemajuan ilmu pengetahuan dan teknologi membawa berbagai implikasi
kompleks dalam kehidupan manusia dan hubungan antar negara. Seiring dengan
perkembangan teknologi Internet, menyebabkan munculnya kejahatan yang disebut
dengan cyber crime atau kejahatan melalui jaringan Internet. Munculnya beberapa kasus
cyber crime di Indonesia, seperti pencurian kartu kredit, hacking beberapa situs,
menyadap transmisi data orang lain, misalnya email, dan memanipulasi data dengan cara
menyiapkan perintah yang tidak dikehendaki ke dalam programmer komputer.
Dalam dua dokumen Kongres PBB mengenai The Prevention of Crime and the
Treatment of Offenders di Havana, Cuba pada tahun 1990 dan di Wina, Austria pada
tahun 2000, ada dua istilah yang dikenal:
1. Cyber crime dalam arti sempit disebut computer crime, yaitu prilaku ilegal atau
melanggar secara langsung menyerang sistem keamanan suatu komputer atau data
yang diproses oleh computer.
2. Cyber crime dalam arti luas disebut computer related crime, yaitu perilaku ilegal atau
melanggar yang berkaitan dengan sistem komputer atau jaringan.
Dari beberapa pengertian diatas, secara ringkas dapat dikatakan bahwa cyber crime
dapat didefinisikan adalah suatu tindakan kriminal yang melanggar hukum dengan
menggunakan teknologi komputer sebagai alat kejahatannya. Dampak dari kejahatan
komputer tersebut sangat luar biasa, bahkan bisa menghancurkan bisnis perusahaan
raksasa sekalipun. Adapun motif yang melatarbelakangi kejahatan komputer dalam dunia
bisnis umumnya adalah motif ekonomi, antara lain untuk menghancurkan pihak lain yang
dianggap pesaing dan mengambil keuntungan ekonomi dari pihak lain.
B. Rumusan Masalah
1. Apa saja jenis kerentanan dan ancaman yang dihadapi sektor bisnis?
2. Apa saja macam jaminan perlindungan dan manajemen risiko TI seperti apa yang
dapat dilakukan?
3. Apa yang disebut ISMS (Information Security Management System)?
4. Apa yang disebut pengamanan jaringan? Apa saja contohnya?
5. Bagaimana proses pengendalian internal dan kepatuhan?
6. Bagaimana kaitan antara kelangsungan bisnis dan pengauditan?
7. Apa contoh studi kasus terkait pengamanan cyber?
C. Tujuan
1. Untuk mengetahui jenis kerentanan dan ancaman yang dihadapi sektor bisnis
2. Untuk mengetahui macam jaminan perlindungan dan manajemen risiko TI yang dapat
dilakukan
3. Untuk mengetahui pengertian dari ISMS (Information Security Management System)
4. Untuk mengetahui pengertian dari pengamanan jaringan dan dapat memahami
contohnya
5. Untuk mengetahui proses pengendalian internal dan kepatuhan
6. Untuk mengetahui kaitan antara kelangsungan bisnis dan pengauditan
7. Untuk mengetahui contoh studi kasus terkait pengamanan cyber
BAB II PEMBAHASAN
Dalam dunia bisnis sendiri khususnya di Indonesia cukup sering terjadi kejahatan
siber melihat data yang dikeluarkan Badan Siber dan Sandi Negara (BSSN) pada tahun
2018 lalu terjadi 12.9 juta serangan kejahatan siber. Mudahnya akses internet saat ini
menjadi salah satu alasan hacker atau peretas mudah untuk menyerang ke jaringan
korbannya bahkan para peretas tidak hanya menggunakan computer saja dalam meretas
tapi mereka juga bisa menggunakan smartphone selama mereka mendapatkan akses
internet.
Beberapa jenis kejahatan siber yang dapat mengancam jaringan IT sebuah perusahaan
diantaranya:
- Malware
- Virus komputer
- Human error
- Hackers, yaitu orang-orang yang secara tidak sah menerobos ke dalam sistem
computer
- Fraud, yaitu penggunaan computer untuk memanipulasi data untuk kepentingan yang
melanggar hukum
- Staff dishonesty, yaitu pencurian data atau informasi penting oleh karyawan internal.
Pengamanan informasi tersebut dapat dicapai dengan melakukan suatu kontrol yang
terdiri dari struktur organisasi, kebijakan, proses, prosedur, serta fungsi-fungsi
infrastruktur teknologi informasi. Dengan kata lain ISO/IEC 27001 adalah suatu cara
untuk melindungi dan mengelola informasi terhadap resiko bisnis berdasarkan
pendekatan yang sistematis untuk mempersiapkan, mengimplementasikan,
mengoperasikan, mengawasi, meninjau kembali, memelihara, serta meningkatkan
pengamanan informasi.
- Informasi: yaitu menyediakan laporan yang benar, lengkap, tepat waktu dan
relevan yang diperlukan dalam rangka pengambilan keputusan yang tepat dan
dapat dipertanggungjawabkan.
Unsur-unsur pengendalian internal menurut para ahli yang perlu dirancang dan
diterapkan oleh manajemen perusahaan, adalah:
- Lingkungan pengendalian
- Prosedur pengendalian
- Pengawasan
2. Kepatuhan
Compliance atau kepatuhan terhadap keamanan informasi adalah masalah hukum
bagi organisasi yang bergerak di banyak industri saat ini. Standar regulasi dunia
seperti PCI DSS, HIPAA, dan IS 2 001 201 menetapkan rekomendasi untuk
melindungi data dan meningkatkan manajemen keamanan informasi di korporasi.
Untuk mencapai kepatuhan keamanan, perusahaan akan mendefinisikan aspek
keamanan informasi tersebut untuk mencapai tujuan keamanan informasi secara
spesifik, serta mengurangi ancaman serangan baik melalui jaringan maupun proses
seperti manajemen kerentanan.
Dalam beberapa kasus, kegagalan pemenuhan dan kepatuhan keamanan informasi
mengakibatkan hukuman kurungan dan denda finansial. Informasi juga merupakan
jantung dan aset perusahaan. Keamanan informasi akan berdampak kepada hidup
matinya perusahaan kerena turut menentukan dapat bersaing tidaknya perusahaan itu
di pasar yang ada.
Karena setiap standar keamanan utama melibatkan serangkaian persyaratan spesifik
yang berkembang sesuai aman, mencapai kepatuhan keamanan dapat menjadi sangat
rumit dan mahal. Untuk mendapatkan perlindungan dari kewajiban yang menyertai
pelanggaran keamanan, perusahaan menghabiskan banyak waktu dan uang untuk
upaya kepatuhan terhadap peraturan.
Berikut adalah undang-undang tentang cyber crime:
- Pasal 27 UU ITE tahun 2008 : Setiap orang dengan sengaja dan tanpa hak
mendistribusikan dan/atau mentransmisikan dan/atau membuat dapat diaksesnya
informasi elektronik dan/atau dokumen elektronik yang memiliki muatan
yang melanggar kesusilaan. Ancaman pidana pasal 45(1) KUHP. Pidana penjara
paling lama 6 (enam) tahun dan/atau denda paling banyak Rp 1.000.000.000,00
(satu miliar rupiah). Diatur pula dalam KUHP pasal 282 mengenai kejahatan
terhadap kesusilaan.
- Pasal 30 UU ITE tahun 2008 ayat 3 : Setiap orang dengan sengaja dan tanpa hak
atau melawan hukum mengakses computer dan/atau system elektronik dengan
cara apapun dengan melanggar, menerobos, melampaui, atau menjebol system
pengaman (cracking, hacking, illegal access). Ancaman pidana pasal 46 ayat 3
setiap orang yang memebuhi unsure sebagaimana dimaksud dalam pasal 30 ayat
3 dipidana dengan pidana penjara paling lama 8 (delapan) dan/atau denda paling
banyak Rp 800.000.000,00 (delapan ratus juta rupiah).
- Pasal 33 UU ITE tahun 2008 : Setiap orang dengan sengaja dan tanpa hak atau
melawan hukum melakukan tindakan apa pun yang berakibat terganggunya
system elektronik dan/atau mengakibatkan system elektronik menjadi tidak
bekerja sebagaiman mestinya.
- Pasal 34 UU ITE tahun 2008 : Setiap orang dengan sengaja dan tanpa hak atau
melawan hukum memproduksi, menjual, mengadakan untuk digunakan,
mengimpor, mendistribusikan, menyediakan atau memiliki.
- Pasal 35 UU ITE tahun 2008 : Setiap orang dengan sengaja dan tanpa hak atau
melawan hukum melakukan manipulasi, penciptaan, perubahan, penghilangan,
pengrusakan informasi elektronik dan/atau dokumen elektronik dengan tujuan
agar informasi elektronik dan/atau dokumen elektronik tersebut seolah-olah data
yang otentik (Phising = penipuan situs).
- Terlibat aktif dan bekerjasama secara efektif dengan para pemangku kepentingan
- Meningkatkan kualitas pada pengukuran serta Continuous Improvement di dalam
fungsi audit instansi/ organisasi
Kemanan dan privasi data menjadi sorotan penting beberapa waktu terakhir. Beberapa
platform di Indonesia memiliki isu di area ini yang berdampak bagi puluhan juta data
pengguna. Tentu ini menjadi kabar kurang baik bagi ekosistem digital yang tengah
berkembang, terlebih layanan yang akhir-akhir ini bocor cenderung dari perusahaan
teknologi yang cukup besar – dari sisi skala bisnis maupun cakupan penggunanya.
Aspek keamanan dan privasi data (idealnya) menjadi komponen yang harus ada dalam
sebuah proses pengembangan produk digital. Diskusi mengenai langkah antisipasi dari
isu tersebut menjadi menarik – terlebih bagi ekosistem startup di Indonesia yang sebagian
besar produknya digital dan melibatkan data-data pribadi pengguna.
Untuk mengulas seputar hal tersebut, DailySocial berkesempatan berbincang bersama
AVP Information Security Blibli Ricky Setiadi.AVP Information Security Blibli Ricky
Setiadi / Dok. Pribadi Ricky Setiadi
DailySocial (DS): Isu data breach sebenarnya bukan hal baru di Indonesia, namun
menjadi buah bibir ketika melibatkan platform B2C/C2C dengan basis pengguna besar.
Dari pengalaman Pak Ricky sebagai praktisi di bidang keamanan siber, bisa dijelaskan
sebagai besar kejadian tersebut diakibatkan karena faktor apa?
Ricky Setiadi (RS): Risiko terhadap ancaman kebocoran data pada digital
platform senantiasa dalam rentang yang sangat tinggi. Jika menggunakan matriks risiko,
kebocoran terhadap data bisa dikategorikan ke dalam high to critical. Nilai ini akan
didapatkan dari kombinasi dampak dari frekuensi (seberapa sering terjadi) dan skala
(seberapa besar dampak) kejadian kebocoran data.
Ruang lingkup kebocoran data dalam skala besar biasanya dilakukan karena terdapatnya
celah atau vulnerability dari sistem yang dibuat oleh sebuah organisasi. Celah disebabkan
oleh berbagai macam faktor, namun secara umum menjadi tiga kelompok besar,
yakni People, Process, dan Technology.
(1) People — Kebocoran data terjadi karena human error atau kelalaian manusia, bisa
dari sisi pengembang atau pengguna. Pengguna kadang terlampau percaya kepada
pengembang. Padahal keamanan data merupakan tanggung jawab bersama, sehingga
keterlibatan dari sisi pengguna pun masih diperlukan. Beberapa penerapan keamanan
dasar yang bisa dilakukan dari sisi pengguna antara lain adalah
penggunaan password yang baik (kombinasi karakter password,
menggunakan password yang berbeda untuk setiap platform, serta menggantinya secara
berkala). Pengguna juga perlu memiliki kesadaran atau pengetahuan terhadap
ancaman social engineering (seperti phishing).
Tidak dimungkiri banyak kejadian yang juga terjadi karena kesalahan pada proses
pengembangan atau maintenance sebuah produk digital. Sebagai contoh, pengembang
tidak menerapkan enkripsi untuk penggunaan variable username dan password, dan
penyimpanan private key yang tidak aman, atau terdapatnya penggunaan account
default untuk setiap sistem yang digunakan. Contoh lainnya adalah kelalaian dalam
melakukan maintenance seperti pengembang menggunakan sertifikat digital yang sudah
kedaluwarsa, penggunaan database yang tidak terproteksi, hingga kelalaian dalam
melakukan design system (tidak mengindahkan kaidah standard practice berdasarkan
risiko dalam pembagian sistem yang bisa diakses secara publik dan sistem yang hanya
bisa diakses oleh internal).
(2) Process — Eksploitasi terhadap business proses. Terkadang pelaku tindak kejahatan
memanfaatkan kesalahan atau kelalaian proses yang dimiliki sebuah organisasi (logic
flaw exploitation). Paradigma bahwa security adalah tameng atau sebagai pelindung
terakhir sebuah produk, bisa menjadi salah satu faktor utama kebocoran data. Di Blibli,
kami selalu berusaha menguji produk kami dari fase awal pengembangannya untuk
menghindari serangan pada setiap tahapan. Ketidakhadiran pengujian terhadap sistem
dalam proses pengembangan juga merupakan salah satu kesalahan yang memberikan
dampak terhadap terjadinya kebocoran data.
Pengembang juga harus ingat untuk menerapkan proteksi pada perangkat keras. Beberapa
kasus kebocoran data juga terjadi karena eksploitasi perangkat keras yang berisikan data
pelanggan, contohnya seperti keamanan server atau hard disk yang menyimpan data
secara offline.
Untuk itu, edukasi mengenai social engineering kepada semua pihak yang terlibat dalam
sebuah proses bisnis menjadi salah satu prioritas untuk menjaga keamanan data, terutama
data pelanggan. Blibli, sebagai pengembang dan penyedia jasa digital, secara aktif
mengedukasi seluruh stakeholder hingga para pelanggan. Edukasi dan penyebaran
informasi dilakukan secara berkala agar Blibli dapat melakukan kontrol pengamanan
yang komprehensif.
DS:Ditinjau dari sisi pengembang, hal apa saja yang perlu menjadi perhatian sejak dini
agar sistem senantiasa mengakomodasi keamanan data dan privasi pelanggan? Faktor-
faktor apa saja yang berkaitan erat dengan keamanan dan privasi data pengguna?
RS:Keamanan data dan informasi menjadi tanggung jawab bersama. Pelanggan harus
jeli guna membatasi informasi yang diberikan ke penyedia jasa digital dan memahami
risiko jika informasi yang diminta terlalu sensitif dan tidak berhubungan dengan jasa.
Keterbatasan pemahaman akan keamanan data ini lah yang membuat keterlibatan
tim Security di setiap fase pengembangan sangatlah penting. Tim Security dapat
meminimalkan terjadinya gangguan terhadap data pelanggan terutama data yang
bersifat privacy atau rahasia (personally identifiable information atau PII). Pengamanan
tidak hanya sebatas dari faktor keamanan teknis saat produk digital siap dibuat, namun
penerapan pengamanan bahkan harus dilakukan saat produk didesain sesuai dengan
standar best practice.
Berikut adalah beberapa faktor keamanan yang perlu diperhatikan, terutama ketika
melakukan pemrosesan data pribadi, yaitu:
- Regulasi pemerintah. Pastikan bahwa semua aspek regulasi yang dikeluarkan oleh
pemerintah setempat sudah dijadikan sebagai salah satu referensi utama dalam proses
pengambilan, pemrosesan, pengiriman, serta penyimpanan data pelanggan. Hal ini
menjadi penting karena setiap wilayah akan memiliki hukum dan regulasi yang berbeda-
beda.
- Kebijakan keamanan. Setiap pengembang saat ini harus memiliki sebuah payung yang
digunakan dalam pengamanan data terutama data pelanggan. Payung ini biasanya
dibentuk dalam sebuah Kebijakan Privasi. Dalam pembuatan kebijakan ini, pastikan
dibuatkan dalam format sesederhana mungkin dan dalam Bahasa yang mudah dimengerti
dengan tanpa melupakan aspek transparansi dan keamanan.
- Pengukuran risiko. Pertimbangan lain dalam penjagaan dan pengamanan pada saat
pengembangan aplikasi adalah melalui pendekatan terhadap pengukuran untuk setiap
risiko. Ada beberapa manfaat yang bisa diambil pada saat penilaian risiko yang
dilakukan. Selain melakukan identifikasi terhadap setiap potensi ancaman yang akan
terjadi, penggunaan kontrol yang efektif juga dapat mengurangi beban biaya dalam
proses mitigasi, mengingat setiap risiko akan memiliki bobot dan nilai serta kontrol yang
berbeda. Tentunya dalam pengukuran risiko ini, setiap organisasi harus menerapkan atau
memiliki kriteria penerimaan (acceptance level) dan rencana penanggulangannya (risk
treatment plan parameter).
- PII data collection. Dalam pengembangan sebuah platform pasti akan menggunakan
minimal salah satu dari data pribadi. Sebagai contoh adalah data nama lengkap, alamat
email, atau nomor telpon. Pengembang harus memperhitungkan dan mempertimbangkan
secara matang sejauh mana desain produk akan mengolah data tersebut. Misalnya dalam
proses registrasi, apakah platform yang kita kembangkan akan membutuhkan data-data
lengkap seperti nama ibu kandung padahal platform yang dikembangkan bukan untuk
layanan perbankan. Contoh lainnya apakah kita membutuhkan data dalam bentuk kartu
identitas atau Credit Card pada saat pengembangan sebuah fitur promo. Atau yang paling
sering ditemukan dalam pengembangan produk untuk smartphone, terkadang
pengembang tidak benar-benar memperhatikan kebutuhan aplikasinya, sehingga ada
beberapa aplikasi yang secara default dapat mengakses contact, galeri, kamera, dan lain
sebagainya. Usahakan penggunaan data pribadi dilakukan sesuai dengan kebutuhan dan
pada saat menggunakan data tersebut dipastikan bahwa kita sudah memiliki kontrol yang
tepat untuk setiap data yang dikumpulkan.
- Fitur dan proses keamanan. Saat ini fitur keamanan adalah salah satu faktor yang akan
dipertimbangkan oleh pelanggan dan calon pelanggan. Penggunaan enkripsi (https dalam
mode web atau enkripsi lain dalam pengiriman data) merupakan salah satu fitur
keamanan yang dapat membantu dalam keamanan data pelanggan. Selain itu fitur two
factor authentication atau recovery methods lainnya adalah pendekatan pengembangan
lainnya yang dapat digunakan sebagai daya tarik pelanggan dalam pengamanan data.
Selain itu dalam proses internal, pastikan terdapat aturan yang tegas dalam memberikan
hak akses kepada setiap stakeholder yang terlibat. Segregation of duties atau pemisahan
tugas menjadi pendekatan untuk mencegah ancaman dari dalam. Klasifikasi data
merupakan pendekatan lain yang bisa dilakukan di dalam internal business process untuk
menghindari terjadinya data PII terekspos keluar.
DS: Di masa pandemi ini tiba-tiba platform online groceries melonjak transaksinya.
Maka startup perlu melakukan scale-up teknologi dari berbagai aspek. Menurut Pak
Ricky, di masa scale-up tersebut investasi apa yang perlu digelontorkan oleh bisnis untuk
menunjang keamanan sistem?
RS:Bagi kami, salah satu investasi terpenting adalah pada People dan Process. Dalam
perspektif keamanan informasi, pada dasarnya setiap sistem dan teknologi adalah alat
penunjang bisnis yang di dalamnya senantiasa mengandung kerentanan. Investasi pada
People dan Process akan mengubah pola pikir dan kultur pada bisnis. Kedua investasi
inilah yang kami coba terapkan di Blibli.
Perubahan pola pikir atau mindset memiliki sifat edukasi ke dalam dan ke luar. Seperti
yang telah dijelaskan sebelumnya, organisasi juga harus terus menginformasikan bahwa
keamanan data dan informasi pelanggan adalah merupakan tanggung jawab bersama
dengan cakupan yang sesuai dengan porsinya masing-masing.
Prioritas lainnya adalah perubahan kultur terhadap risiko. Kultur pada sebuah bisnis
dimulai dari proses implementasi, adopsi, hingga akuisisi teknologi. Jika proses ini
dilakukan dengan efektif dan efisien, perusahaan dapat menurunkan profil risiko serta
menerapkan kontrol pada organisasi. Organisasi pun dapat mempercepat perkembangan
bisnis karena sudah dapat menentukan kontrol keamanan yang tepat dari surface
attack pada saat melakukan scale-up.
Jika melihat kepada beberapa tahun ke belakang, proses pengembangan sebuah aplikasi
senantiasa akan menuliskan semua permintaan pada bagian awal pengembangan.
Proses testing, termasuk security testing, akan dilakukan pada akhir pengembangan. Satu
sisi, tahapan-tahapan ini akan menghasilkan sebuah aplikasi yang matang, namun di sisi
lain akan memberikan dampak yang cukup serius pada saat terjadinya
penemuan defect hasil testing yang banyak dan cukup kritis. Proses perbaikan terhadap
hasil dari testing akan membutuhkan biaya tambahan baik untuk desain maupun
implementasinya.
Metode ini sangat tidak efektif untuk diaplikasikan oleh organisasi startup yang
senantiasa mengandalkan kepada jumlah release yang cepat. Adopsi pendekatan yang
lebih agile dan shifting left bisa dilakukan untuk setiap organisasi startup dalam
menghasilkan produk yang cepat tanpa meninggalkan aspek keamanan.
Shifting Left:
Metode konvensional menerapkan testing hanya di tahapan akhir (Testing and
Verification). Pendekatan Shifting Left menerapkan proses pengujian mulai dari fase
awal yaitu “Requirement”. Pada fase ini, Requirement tidak hanya akan melibatkan
kebutuhan pelanggan dari sisi produk, bisnis, dan user experience, namun juga
memasukan unsur keamanan sebagai salah satu parameter. Blibli pun telah menerapkan
metode ini dalam proses pengembangan produk digitalnya.
Shifting left akan membentuk paradigma untuk melakukan pengujian semua aspek (test
everything), pengujian yang dilakukan kapan pun (test everytime), pengujian yang lebih
awal (test earlier), pengujian secara berkelanjutan (test continuously), dan melibatkan
pihak penguji dalam setiap tahap. Tim pengembang dan security dapat berkerja sama
untuk melakukan tindakan preventif daripada detective.
Metode dan pendekatan ini telah kami terapkan di Blibli sebelum kami meluncurkan
produk IT. Dengan adopsi ini, proses deteksi terhadap bugs atau defect menjadi lebih
cepat, meningkatkan efektifitas dari sisi waktu pengembangan dan biaya, serta
meningkatkan kemudahan dan kualitas produk/aplikasi.
DS: Menurut Pak Ricky, apa urgensinya melakukan sertifikasi sistem, terkait dengan
keamanan dan privasi data? Sertifikasi apa saja yang disarankan untuk diikuti?
RS:Sertifikasi akan menjadi sebuah competitive advantage. Karena melalui sertifikasi,
sebuah organisasi telah menunjukkan kemampuan kinerja yang lebih tinggi dan sesuai
dengan standar. Selain itu, sertifikasi juga menjadi sebuah comparative advantage dari
sebuah organisasi. Proses bisnis akan menyesuaikan dengan standar sehingga mampu
menghasilkan lebih banyak produk berkualitas yang efektif dan efisien serta mampu
melakukan manajemen risiko.
Ada banyak sertifikasi yang bisa diterapkan untuk level organisasi dalam dunia
keamanan informasi atau cybersecurity. Hal ini kembali lagi dengan kepentingan dan
ranah bisnis yang dilakukan organisasi. Blibli, sebagai contoh, telah mendapatkan
sertifikasi ISO/IEC 27001 tahun 2013 yang diakui secara global untuk pengelolaan
sistem keamanan informasi. E-commerce merupakan bisnis yang mengolah data
pelanggan, sehingga menjadi penting apabila bisnis serupa melakukan sertifikasi ini.
Proses sertifikasi juga perlu dilakukan oleh individu yang melakukan proses penerapan
keamanan. Profesional yang menjalankan proses pengamanan akan senantiasa menjadi
nilai tambah bagi perusahaan dalam menjalankan bisnisnya. Sertifikasi keamanan
informasi ini banyak sekali untuk level individual seperti:
Managerial: CISSP, CCISO, CISM, CIPP, CIPM, CRISC, CGEIT, EISM
Technical: OSCP, OSCE, OSEE, OSWE, CEH, CSSLP, Security+ CHFI, ECIH, LPT
Master, ECSA Master, CREST
Audit: CISA, ISO 2700 Lead Auditor, ISO2700 Internal Auditor
DS: Dalam tim teknis sebuah startup digital, idealnya tim keamanan ini terdiri dari
bagian apa -saja?
Kebutuhan tim teknis secara umum hanya membutuhkan tiga tim yaitu Yellow
(architect), Red (attacker) dan Blue (defender).
- Yellow: Pada saat melakukan pengembangan sebuah aplikasi, architecture review akan
senantiasa dilakukan baik dari sisi aplikasi, infrastruktur, maupun security. Tim Security
Architect akan melakukan review terhadap architecture dari aplikasi berdasarkan fungsi,
obyektif, rencana pengujian, serta pemantauan terhadap risiko teknis melalui
proses threat modelling.
- Red: Selain tim Yellow, sebuah aplikasi perlu diuji secara internal sebelum merilisnya ke
publik. Pengujian ini akan dilakukan oleh tim Red. Fungsi utama dari tim ini adalah
melakukan simulasi penyerangan terhadap aplikasi, platform, dan infrastruktur.
Skenarionya pun tidak hanya sebatas tes keamanan semata, namun melakukan berbagai
simulasi hacking dan social engineering sebagai bagian dari pengujian yang dilakukan.
- Blue: Selain simulasi penyerangan dijadikan sebagai metode dalam pengamanan aplikasi
atau platform, metode lain yang dibutuhkan adalah metode defensif. Tim Blue akan
bertanggung jawab terhadap implementasi skenario dan kontrol pertahanan dari serangan
pelaku tindak kejahatan siber atau simulasi serangan dari Tim Red seperti
implementasi web application firewall, firewall, logging, SIEM, incident handling, dan
sejumlah tindakan defensif lainnya.
Dalam perkembangannya, dari ketiga tim ini akan membentuk tim tambahan hasil dari
campuran ketiga warna tersebut. Blibli pun menerapkan campuran ini untuk memastikan
tim IT dapat beroperasi dengan maksimal. Ketiga tim tambahan tersebut adalah:
1. Green Team (kombinasi dari Blue dengan Yellow): Tim ini akan banyak
melakukan perbaikan dari security automation dan code yang dituliskan
oleh developer (programmer).
2. Orange Team (kombinasi dari Yellow dengan Red): Tim ini akan membantu
Tim Yellow untuk meningkatkan kapasitas tentang keamanan dalam
bentuk awareness atau edukasi teknis keamanan.
3. Purple Team (kombinasi dari Red dan Blue): Tim ini adalah sebagai tim
penyeimbang untuk meningkatkan kapasitas Tim Red dalam melakukan metode
ofensif atau pertahanan serta melakukan evaluasi dan perbaikan dari
Tim Blue dalam melakukan pertahanan.
DS: Sebagai studi kasus, bagaimana Blibli menerapkan standar keamanan dan privasi
data? Fitur apa yang disajikan untuk mengantisipasi kegagalan sistem dari sisi
konsumen dan dari sisi platform?
RS: Blibli berkomitman untuk mengutamakan kepuasan pelanggan. Salah satu caranya
adalah memastikan bahwa keamanan data pelanggan terlindungi dan terkelola dengan
baik.
Keamanan data pelanggan merupakan subset atau bagian dari proses pengendalian
keamanan informasi, sehingga dalam pelaksanaannya kami melakukan tiga metode
pengendalian yang meliputi:
DS: Sebagai sebuah worst case scenario, ketika sistem mendapati isu data breach, apa
yang seharusnya dilakukan oleh perusahaan — baik dari sisi tim pengembang, tim
komunikasi ke pelanggan dll?
RS: Sebuah organisasi harus sedini mungkin menyiapkan mekanisme skenario terburuk
dari sebuah serangan termasuk skenario kebocoran data. Tindakan pencegahan dan
respons terhadap kebocoran data harus melibatkan semua pihak baik dari sisi tim IT,
Security, komunikasi, legal, serta jajaran manajemen.
Setiap organisasi setidaknya harus memiliki prosedur baku dalam persiapan penanganan
insiden. Setiap insiden yang terjadi tidak harus diinformasikan kepada pelanggan.
Perusahaan juga harus melakukan kategorisasi insiden yang terjadi (apakah insiden
termasuk ke dalam kategori aktivitas malicious code, penggunaan akses yang tidak
normal, percobaan phishing spear atau insiden lain yang menyebabkan data terekspos).
Selain kategori tersebut di atas, tim incident handling harus menganalisis dampak dari
kejadian tersebut. Penggunaan matriks yang diturunkan dari matriks risiko akan
membantu tim melakukan perhitungan dengan lebih tepat dan cepat. Analisis ini perlu
juga ditunjang dengan proses validasi dan klasifikasi dari insiden tersebut. Apakah
insiden ini benar-benar valid atau hanya sebatas false positive, apakah kejadian ini
memiliki dampak yang sesuai dengan laporan pertama, serta data atau sistem apa saja
yang terkena dampak dari insiden ini.
Jika pada fase incident triage menghasilkan kesimpulan bahwa insiden terjadi, proses
notifikasi harus secepatnya diberikan kepada setiap komponen organisasi yang terlibat.
Notifikasi cepat ini harus melibatkan:
- Tim Legal untuk melihat dari aspek regulasi dan hukum yang berlaku.
- Tim IT untuk secepatnya berkoordinasi dalam melakukan penanganan awal dari insiden
yang terjadi, termasuk tim infrastructure dan developer untuk melakukan perbaikan
secepatnya.
- Management representative untuk memberikan laporan terbaru dari status insiden serta
meminta saran, rekomendasi, serta arahan untuk keputusan.
- Tim Komunikasi untuk memberikan pernyataan resmi (baik secara reaktif atau proaktif)
kepada publik mengenai kondisi insiden saat ini dan apakah insiden ini valid atau tidak
valid.
Seiring dengan proses notifikasi tersebut, tim penanganan insiden harus secepatnya
menjalankan proses containment. Fungsi dari proses ini adalah menghentikan laju dari
dampak insiden tidak semakin meluas ke aset dan sistem lain. Tujuan
lain containment adalah mengurangi kerugian atas dampak yang lebih besar dari insiden
tersebut.
Tim penanganan insiden juga harus mampu melakukan pengumpulan bukti-bukti dari
setiap insiden ini. Pengumpulan bukti ini menjadi bagian penting dalam pembuatan
laporan dan menentukan proses forensic dari insiden tersebut. Hasil forensic ini akan
menjelaskan detail informasi dari insiden tersebut seperti:
Metode penyerangan.
Jenis kerentanan yang digunakan untuk melakukan eksploitasi.
Kontrol keamanan yang mampu menahan serangan.
Jenis aplikasi atau sistem yang digunakan sebagai dormant host atau jalan masuk
penyerang serta informasi detailnya.
Langkah selanjutnya yang harus dilakukan oleh tim penanganan adalah melakukan
pemulihan sistem, layanan, serta data yang terkena dampak dari insiden tersebut. Tim
penanganan harus dapat memastikan bahwa semua layanan kembali normal.
Tim penanganan harus membuat laporan lengkap mengenai insiden dan melaporkannya
ke pihak terkait. Selain manajemen perusahaan, tim dapat melaporkannya kepada
pemerintah apabila insiden termasuk dalam kategori kritis dan berhubungan dengan
pelanggan. Pada saat memberikan informasi kepada stakeholder, setidaknya ada beberapa
poin yang harus dilakukan atau disampaikan:
Komunikasikan insiden ini dengan bahasa yang sederhana kepada stakeholder yang tepat.
Berikan informasi yang transparan, termasuk informasi tentang keterlibatan semua pihak
dalam melakukan perencanaan persiapan insiden merupakan salah satu pendekatan
terbaik. Informasikan juga bahwa kejadian ini di luar kontrol organisasi, mengingat
organisasi sudah melakukan serangkaian kegiatan preventif.
Berikan informasi secara wajar dan akurat terkait dengan dampak dari insiden tersebut.
Termasuk di dalamnya informasi tentang
Apa yang terjadi dengan data, semisal meski datanya terekspos tapi masih terlindungi
oleh enkripsi.
Langkah atau tindakan yang harus dilakukan pelanggan jika proses penanganan masih
dalam tahap investigasi atau perbaikan, seperti mengganti password semua akun digital
dan pengecekan saldo (untuk platform finansial) secara reguler
Melakukan tindakan (incident response) terhadap kebocoran data merupakan sebuah
tindakan kritis yang harus segera dilakukan. Namun demikian tindakan pencegahan
merupakan kunci utama dalam melakukan reaksi dan respons terhadap kebocoran data
tersebut.
DS: Terakhir, mungkin ada buku, online course atau sumber belajar lain yang dirasakan
oleh Pak Ricky untuk dapat dipelajari penggiat startup terkait metodologi, konsep,
hingga praktik keamanan dan privasi data?
RS:Saat ini banyak platform yang bisa digunakan untuk meningkatkan kapasitas dalam
keamanan informasi baik untuk pelaku bisnis startup atau individual. Baik dari yang
sifatnya free, freemium maupun premium baik dari sisi managerial maupun dari sisi
teknis. Platform yang biasa kami gunakan
adalah O’reilly, udemy, cybrary.it, hackerone, hackthebox, hacking-
lab, pwnable, coursera, opensecurity training, heimdal security, san
cyberaces, owasp, openSAMM project dan masih banyak lagi beberapa platform
community yang bisa digunakan.
Di Blibli, kami senantiasa melakukan peningkatan kapasitas dari tim IT, salah satunya
adalah melakukan edukasi terhadap pengembangan produk melalui secure coding
training, seminar, dan internal sharing session secara periodik. Kami juga mengajak
rekan-rekan IT di Blibli untuk bergabung dalam komunitas IT. Fungsi dari keikutsertaaan
karyawan di komunitas adalah memperluas network serta mendapatkan update mengenai
isu-isu terkini, baik yang terjadi di dalam maupun luar negeri.
BAB III KESIMPULAN
IGN MANTRA Dosen Keamanan Informasi, Peneliti Cyber War dan Cyber Security
Inspection @lab, ABFII Perbanas Jakarta, Certified EC-Council Instructor dan Ketua Indonesia
Academic Computer Security Incident Response Team, korespondensi e-mail: mantra@acad-
csirt.or.id
http://jurnal.idu.ac.id/index.php/JPBH/article/viewFile/179/84
https://mtp.co.id/project/7-jenis-cyber-attack-yang-mengancam-it-perusahaan-dan-solusinya/
https://media.neliti.com/media/publications/166137-ID-kerentanan-yang-dapat-terjadi-di-
jaringa.pdf
https://www.dictio.id/t/apa-yang-dimaksud-dengan-manajemen-risiko-teknologi-informasi-atau-
it-risk-management/15022/2
https://sis.binus.ac.id/2019/04/08/it-risk-management/
https://isokonsultindo.com/iso-27001
https://www.hukumonline.com/klinik/detail/ulasan/lt5d588c1cc649e/perlindungan-hukum-atas-
privasi-dan-data-pribadi-masyarakat/
https://media.neliti.com/media/publications/43295-ID-perlindungan-hukum-terhadap-korban-
kejahatan-cyber-crime-di-indonesia.pdf