Mengantisipasi datangnya ancaman dari lingkungan eksternal ataupun internal, sejumlah perusahaan meningkatkan sistem keamanannya. Bagaimana praktiknya?
by a. mohammad bs
Memasuki pelataran parkir Menara Bank Mega di Jl. Kapten Tendean, Jakarta, terlihatlah kesan pengamanan yang ketat. Beberapa orang satuan pengaman (satpam) berwajah tegas lengkap dengan alat detektornya menghentikan setiap mobil yang masuk dan meminta dibukakan pintunya untuk diperiksa. Lalu, sebelum masuk lobi gedung, lebih dulu harus melewati pintu detektor (walk through detector). Tak cuma itu, para tamu pun mesti antre di meja resepsionis yang akan mendata: nama, asal (perusahaan), serta maksud dan tujuan kedatangan. Setelah mengonfirmasi ke pihak yang dimaksud dan meminta kartu tanda pengenal (KTP) untuk ditukar dengan kartu ID pass, tamu pun dipersilakan masuk. Nah, ID pass ini digunakan untuk bisa masuk ke lift. Di lobi, setidaknya ada tiga lini screening yang menuju ke lift.
“Tadi di meja resepsionis sudah difoto?” tanya Kostaman Thayib, Direktur Retail Banking Bank Mega, pada suatu ketika SWA hendak mewawancarainya. Rupanya, berbarengan dengan pendataan yang dilakukan resepsionis, proses pemotretan pun sedang berlangsung. Tentu saja para tamu tidak sadar, karena memang kameranya tersembunyi. Artinya, setiap tamu yang datang ke Menara Bank Mega wajahnya akan terekam dan menjadi barang dokumentasi.
Ketatnya sistem keamanan di Menara Bank Mega itu hanyalah salah satu contoh. Sebab, fenomena pengamanan semacam itu bisa ditemui di hampir semua gedung perkantoran, mal ataupun hotel, terutama di Jakarta. Setelah Ibu Kota beberapa kali diguncang teror bom, hampir semua gedung perkantoran dan area publik lainnya melipatgandakan sistem keamanannya. Tidak cuma dalam hal penambahan tenaga sekuriti, tapi juga penggunaan detektor metal dan pemasangan kamera closed-circuit television (CCTV). Semua itu diterapkan di seluruh area, baik di ring luar maupun ring dalam.
Saat ini banyak sekali jenis kamera CCTV dengan berbagai fungsi dan fitur. Teknologi yang mutakhir pun sudah tersedia, seperti CCTV berbasis Internet protocol (IP). Sistem keamanan melalui kamera CCTV yang berbasis IP boleh dibilang punya beberapa kelebihan. IP sebagai protokol yang umum digunakan untuk sebuah jaringan dan Internet lebih memudahkan diakses, terutama jika ingin melakukan pengontrolan atau pemantauan dari jauh (remote monitoring).
CCTV yang berbasis IP dapat diintegrasikan dengan wireless IP, local area network (LAN), dan wide area network (WAN). Dan, data-data yang ditangkap melalui kamera CCTV dapat disimpan menggunakan digital video recorder (DVR) ataupun video server (VS).
Sistem yang menggunakan DVR biasanya digunakan untuk pemantauan di wilayah lokal, misalnya dalam satu gedung. Dengan menggunakan DVR, pengguna dapat menghubungkan 16 channel kamera sekaligus ke dalam DVR. Namun, disebabkan hanya memiliki satu ethernet, sehingga ia hanya menggunakan satu IP. Metode perekaman yang dapat dilakukan beragam, mulai dari perekaman berdasarkan jadwal; merekam berdasarkan deteksi gerakan atau alarm; atau dapat pula merekam secara manual.
Jika pengelola gedung ingin mengendalikan banyak kamera dari jarak jauh, bisa menggunakan VS. Masing-masing kamera dihubungkan dengan satu VS, sehingga setiap kamera memiliki satu IP. Dari masing-masing IP ini selanjutnya dapat dihubungkan pada jaringan seperti LAN, WAN, atau Internet. Bentuknya hanya sebuah kotak kecil dengan konektor untuk dihubungkan dengan kamera dan peralatan jaringan lainnya seperti switch.
Yang pasti, pengamanan ketat seperti itu bukan cuma diterapkan kalangan perbankan. Ambil contoh, di kawasan Da Vinci Sudirman, baik gedung perkantoran maupun apartemennya, tingkat pengamanannya boleh dibilang superketat. Terlebih untuk apartemen Da Vinci Penthouse (DVP). Bagaimana tidak, selain mendapat pengawalan 60 satpam, sejumlah perangkat teknologi pengaman pun dipasang. Mulai dari detektor metal, akses kartu privat (private card access) yang sudah diprogram untuk penghuni yang bersangkutan, sistem videophone dan sistem pemindai jari (finger scan system), hingga CCTV. “Sistem keamanan yang kami terapkan bersifat eksternal dan internal. Jadi pengamanannya berlapis. Ada beberapa tahapan harus dilalui oleh setiap pengunjung ataupun karyawan untuk memasuki kawasan Da Vinci,” Erwin Hawawinata, GM Da Vinci Indonesia, menjelaskan.
Ditambahkan Erwin, jika ada tamu yang ingin berkunjung ke DVP, pihaknya akan menghubungkan tamu dengan sang penyewa (tenant) melalui videophone. Dengan begitu, tenant dapat melihat langsung tamu yang akan mengunjunginya. Apabila penghuni apartemen memperbolehkan tamunya masuk, petugas keamanan siap mengantarnya ke lantai yang dimaksud, dan menunggunya hingga sang tamu selesai bertandang.
Selain dengan sistem CCTV yang terekam selama 24 jam, semua akses pintu di kawasan Da Vinci dilengkapi dengan akses kartu privat. Dengan begitu, setiap orang yang melewati pintu itu akan terdeteksi, karena setiap kartu terdaftar pemiliknya. Bahkan, di DVP digunakan sistem lift privat untuk setiap unitnya. Lift khusus itu hanya bisa diakses oleh tenant atau orang yang telah melalui proses finger scan dan personal card. “Dengan personal card, kami menerapkan suatu sistem kartu akses yang tidak dapat dialihkan kepada orang lain. Karena setiap kartu yang dimiliki bersifat individual, yang telah diprogram dengan sidik jari masing-masing pemiliknya, dan lantai mana saja yang dapat diakses pemilik kartu tersebut,” Erwin menjabarkan.
Walaupun tidak sekaku Da Vinci, langkah memperketat sistem keamanan juga ditempuh PT Excelcomindo Pratama (XL). Pengelolaan keamanannya ditangani sendiri oleh Divisi Real Estate & Manajemen Fasilitas. Grha XL juga dilengkapi peranti keamanan yang dipasang mulai dari ring luar hingga ring dalam, termasuk pemasangan kamera CCTV di setiap area dan penempatan kamera tersembunyi (hidden camera) pada 10 titik tersembunyi yang benar-benar dinilai vital. Menurut Pri Agustama, Manajer Manajemen Fasilitas Grha XL, untuk pemantauan semua kamera yang terpasang itu ditangani oleh orang-orang khusus di suatu ruangan khusus pula.
Menurut Andika Triwida, spesialis keamanan jaringan dari PT Indocisc, umumnya perusahaan yang pernah dia evaluasi lebih mengutamakan tingkat keamanan eksternal. “Kebanyakan organisasi yang kami evaluasi memiliki mutu keamanan internal jauh di bawah mutu keamanan eksternalnya. Kebanyakan kurang menyadari bahwa masalah keamanan lebih sering dan mudah muncul karena faktor internal, baik disengaja maupun tidak,” ungkapnya.
Andika menuturkan, saat ini tren pengamanan menyatukan keduanya, yakni keamanan fisik (eksternal) dan sistem (internal). Jika keduanya disatukan di bawah satu koordinasi, pengamanannya bakal lebih efektif. Menurut Andika, yang mesti dipahami bahwa keamanan sistem di suatu organisasi perlu dipandang secara menyeluruh dan top down. Secara umum, ada tiga komponen pokok keamanan: SDM, proses, dan teknologi. ”Apabila kita hanya fokus ke teknologi dan melupakan kedua komponen penting lainnya, solusi itu pasti akan gagal,” Andika menandaskan.
Begitu pula dengan serangan yang datang, tidak hanya dalam bentuk fisik, melainkan tak jarang menyerang ke sistem jaringan. Pada umumnya, lanjut Andika, semua organisasi yang memakai e-mail akan mengalami masalah dengan virus dan spam. Sementara perusahaan yang memberikan layanan transaksional melalui web (online banking, e-commerce, dan sebagainya), belakangan mengalami ancaman besar berupa phising. Pengguna akan kecele karena mengakses situs palsu yang tampilannya sangat mirip situs asli. Tentu saja, account dari pengguna yang tertipu akan diambil, baik username maupun password. Salah satu kasus besar baru-baru ini terjadi pada Bank Nordea di Swedia. Bank itu mendapat serangan yang memakai phising, spam, dan trojan horse. Akibatnya, bank itu menderita kerugian lebih dari 580 ribu poundsterling.
Toh, tak semuanya mengaku seperti yang diungkapkan Andika. Andri Purnomo, Manajer Corporate Information Security Assurance XL, misalnya, menyebutkan sekuriti TI di perusahaannya berlapis-lapis. “Tetapi berapa banyak lapisan pengamannya saya tidak bisa disclose. Karena kalau orang luar tahu konfigurasinya, akan tahu pula seperti apa sistemnya,” ucap Andri berkilah.
Menurut Andri, sistem keamanan TI di XL sudah mengacu dan sesuai dengan standar internasional. Dalam hal ini standar keamanan jaringan informasi yang dipakai adalah information security management system (ISMS) sesuai ISO/IEC 27001:2005 dan ISO/IEC 17799:2005 – yang dimaksudkan untuk memenuhi tuntutan bisnis yang semakin mengglobal. Salah satu jangkauan ISO 27001 adalah untuk keamanan fisik. Keamanan fisik ini ada di building management dan kontrol akses.
Menurut Andri, segala aspek kontrol pengamanan didasarkan atas risk assessment lebih dulu, sehingga dapat diketahui aset apa saja yang terpengaruh (baik orang, perangkat, data/info, maupun prosedur, dan sebagainya), serta dampak dan probabilitas kejadiannya, sehingga dapat ditentukan kontrol pengamanannya yang sesuai. Risk assessment secara berkala terus diaudit dan diperbarui. “Semua standar pengamanan sistem yang dirumuskan dalam dokumen ISO 27001, yang meng-cover 11 area, sudah kami ikuti,” kata Andri mengklaim.
Diakui Andri, pihaknya juga pernah menjumpai serangan yang umumnya ditemukan di dunia sekuriti TI, seperti hacking, virus, trojan horse, spyware, dan lainnya. Dari pengalaman itu, XL terus berupaya memperbarui teknik pengontrolan sekuriti TI-nya – di samping melakukan aksi korektif. Salah satu bentuk pengontrolan yang diperbaiki adalah dengan melihat pada risk assessment dan rencana pencegahan ke depan (prevention). Selain itu, terus meningkatkan dan memperbaiki kegiatan monitoring untuk mendeteksi kejanggalan terhadap sistem pada fase dini (early warning). Termasuk penanganan manajemen insiden sekuriti untuk menindaklanjuti pelanggaran terhadap kasus sekuriti untuk dibawa ke pengadilan bila dimungkinkan, hingga sanksi dikeluarkan dari XL bila hal itu menyangkut pelanggaran sekuriti oleh orang dalam. “Terus terang, kami sangat khawatir akan berbagai serangan terhadap sistem keamanan ini. Sebab, pengaruhnya bila terkena pada sistem yang sedang berjalan dapat memengaruhi citra perusahaan kami,” Andri menuturkan.
Di Da Vinci, seperti diklaim Erwin, selain senantiasa terus memperbarui sistem untuk data-data penting, sistem itu juga sangat terproteksi dan terjaga keamanannya. Terlebih semua data berpusat di kantor pusatnya di Singapura. Setiap kantor cabang yang akan mengakses harus lebih dulu melalui proses registrasi dan disetujui pihak kantor pusat. “Kami di sini membuat suatu program tersendiri yang selalu kami perbarui. Jadi, sangat mudah memantau siapa yang masuk melalui komputer yang mana, sebab setiap komputer akan terdeteksi apabila sedang terpakai,” papar Erwin.
Mengenai kemungkinan kebocoran data atau terjadinya penyusupan, Andri tidak terlalu khawatir. Pasalnya, salah satu alat yang dipasang sebagai sekuriti TI di XL bisa melakukan tugas untuk keperluan forensik. Dengan begitu, jika terjadi insiden misalnya, bisa diketahui dari mana sumbernya hingga siapa orangnya.
Menurut Andri, sebenarnya untuk kasus kebocoran, persoalannya hanya pada masalah manajemen. Sebab, sekuriti itu tidak ada yang 100% secure. Secanggih apa pun teknologinya, jika manajemennya tidak bagus tetap saja bisa bocor. “Walaupun dilindungi beragam tool, firewall, jika manajemen tidak proven dan tidak bisa mengelola keamanan dengan baik, tetap saja rawan. Sekuriti yang baik mesti ada kebijakannya, proses monitoringnya, dan harus ada proses assessment yang bisa dilakukan baik oleh internal maupun mengundang pihak ketiga. Di sini terkait erat dengan SDM,” ungkap Andri.
Pendapat Andri diamini Erwin. Menurut sarjana arsitektur Universitas Parahyangan Bandung yang turut membidani konsep DVP ini, keberhasilan suatu sistem tetap akan berpulang pada individu-individu yang ada di perusahaan itu. “Kadang sistem sudah sedemikian bagusnya dibuat, tetapi ada saja celah untuk mendapatkan informasi yang seharusnya dijaga. Jadi memang dibutuhkan kerja sama semua pihak untuk menjaga hal ini. Di sini kami menerapkan kesadaran pada setiap karyawan untuk menjaga dan bersikap profesional dalam bekerja. Sebab, jika setiap karyawan sadar akan hal ini, semua akan berjalan dengan baik,” tutur Erwin.
Lantas, bagaimana supaya tidak mendapat gangguan dari orang dalam? Andika menyarankan agar prosedur pengembangan dan operasional sistem harus matang. Pengembangan sistem TI itu harus dilaksanakan oleh beberapa tim: desainer, programmer dan tester. Selama berlangsung pelaksanaannya pun mesti diaudit.
Dicontohkan Andika, beberapa waktu lalu ia bersama timnya melakukan beberapa pekerjaan software security testing. Salah satu yang dilakukannya adalah mencari backdoor (fasilitas bagi pengembang untuk memasuki aplikasi tanpa memakai account normal); easter egg (fungsi khusus yang berjalan ketika kombinasi tombol tertentu ditekan atau bagian tertentu dari program diklik); dan time-bomb (logic-bomb). Menurut Andika, semua pekerjaan itu mutlak membutuhkan source code aplikasi untuk diperiksa. “Apabila organisasi menyadari risiko itu, seharusnya mereka mau berupaya melakukan pengamanan dengan security testing,” ujar Andika.
Intinya, lanjut Andika, keberhasilan sistem keamanan informasi pada suatu jaringan tidak hanya ditentukan oleh kualitas teknologi yang digunakan, melainkan pula kapasitas SDM dan proses kebijakan yang dijalankan. Selain itu, “Untuk membangun sistem keamanan informasi yang kuat, juga harus dipertimbangkan apa saja yang akan diamankan, dan mengapa informasi itu harus aman,” Andika menegaskan.
Tip:
Membangun Sistem Keamanan Jaringan Informasi
Sistem jaringan informasi yang bagus perlu dibangun berdasarkan kebutuhan bisnis. Setiap ancaman bisnis sudah diteliti dan diantisipasi. Risiko yang tidak mudah atau bisa dikurangi sudah disadari oleh manajemen dan diterima atau disadari keberadaannya.
Selanjutnya, berdasarkan kebutuhan bisnis itu, disusun kebijakan tentang keamanan yang selanjutnya diturunkan ke prosedur. Keduanya harus dipublikasi secara luas ke seluruh organisasi dan pelaksanaannya diawasi. Secara berkala kebijakan dan prosedur itu ditinjau ulang kecocokan, kelengkapan, dan kecukupannya.
Di sisi teknologi, perlu dipasang berbagai teknologi yang mendukung kebutuhan bisnis dan mengurangi risiko atas terjadinya setiap ancaman yang telah diteliti. Teknologi ini mencakup infrastruktur jaringan dan server. Untuk perlindungan, perlu teknologi firewall, intrusion detection system, hingga intrusion prevention system. Selain itu diperlukan pula software antivirus; sedangkan antispam dibutuhkan untuk dipasang di mail server.
(Disarikan dari wawancara dengan Andika Triwida, Spesialis Keamanan Jaringan PT Indocisc).
(SWA, No. 04\2007)
May 24, 2008 at 15:12 |
saya sedang menyusun skripsi tentang cara membuat program perekam pada kamera cctv tolong kalau bisa dibantu tentang algoritmanya trims
April 7, 2009 at 15:12 |
salam kenal semuanya,,
terkait dengan masalah security dan ISO 27001,saya mempunyai sedikit informasi tentang seminar sehari mengenai ISO 27001 dan kaitannya dengan Peraturan Bank Indonesia.
berikut informasinya:
Seminar Sehari Roadmap to ISO 27001 Certification and Comply with Peraturan Bank Indonesia No.9/15/PBI/2007, Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi pada Bank Umum.
yang akan diselenggarakan pada tanggal 16 April 2009 di Ritz Carlton Hotel, Pacific Place – Sudirman
Materi :
Overview tata kelola pengamanan informasi pada perusahaan
Roadmap implementasi ISMS dan sertifikasi ISO 27001
Peran Peraturan Bank Indonesia (PBI) No. 9/15/PBI/2007 dalam peningkatan pengamanan informasi di dunia perbankan
Keterkaitan implementasi standar keamanan informasi terhadap kepatuhan pada Peraturan Bank Indonesia (PBI) No. 9/15/PBI/2007
Perspektif Badan Sertifikasi terhadap audit ISO 27001 di Indonesia
Speakers:
-Deputi Direktur Direktorat Teknologi Informasi Bank Indonesia
-Tim Perumus Peraturan Bank Indonesia
-Lead Auditor Bureau Veritas Taiwan
-dll.
Info lebih lengkap silahkan klik : http://www.lemtiui.com/
atau hubungi CP berikut : Mia (0856 – 855 9590) / Anggi (0813 – 10193025)
terima kasih atas perhatiannya dan semoga bermanfaat