JURNALSECURITY | Baru-baru ini ada kabar bahwa seorang hacker yang bernama Database Shopping mengklaim memiliki data hasil tes pasien Covid-19 di Indonesia berjumlah 231.636. Data tersebut dijual lewat sebuah situs bernama Raid Forums yang juga digunakan untuk menjual database user Tokopedia beberapa waktu lalu (1). Mungkin Anda berpikir lalu kenapa? Apa urusannya dengan saya sebagai insan security? Hal ini sebenarnya sangat terkait dengan profesi Anda sebagai security.
Sebagai insan security yang bergelut sebagian besar di ranah physical security, mungkin ranah cyber security atau information security adalah ranah yang asing. Namun sebenarnya apabila ditelusuri lebih dalam physical security dan information security adalah dua sisi dari mata uang yang sama yaitu security. Mungkin anda pernah mendengar istilah security convergence? Security convergence adalah kondisi yang terjadi dimana physical security dan information security, yang secara tradisional terpisah, menjadi satu dan memiliki program yang terintegrasi sebagai bagian dari program risk management yang holistik.
Istilah security convergence bukan istilah baru. Bahkan ASIS International sudah menggaungkan hal ini sejak lama, sekitar 15 tahun yang lalu. Kenapa security convergence menjadi hal yang penting? Karena dua saudara ini sebenarnya tergantung satu sama lain. Kita lihat dari perspektif physical security terlebih dahulu. Dalam menyusun program physical security, kita akan melakukan tiga aspek (gambar 1) yaitu:
- Aspek physical
- Aspek technical/equipment
- Aspek procedural
Gambar 1. Tiga aspek dari Physical Security
Di sini saya akan melihat ke aspek yang kedua yaitu aspek technical/equipment, di sini terlihat bahwa physical security tidak akan bisa lepas dari aspek teknis atau aspek penggunaan alat, yang di masa sekarang hampir pasti melibatkan fungsi IT (Information Technology), sebagai contoh system CCTV dan facial recognition, access control dan biometric, command center, perimeter intrusion detection system, dan masih banyak lagi.
Sebaliknya dilihat dari sisi information security. Seorang professional di bidang information security pasti akan berpikir untuk menjaga tiga hal berikut tetap terjaga, yaitu:
- Confidentiality (kerahasiaan)
- Integrity (integritas)
- Availability (ketersediaan)
Gambar 2. Segitiga Information Security
Seperti di gambar 2, tiga hal ini sering disebut juga sebagai triangle of information security (segitiga keamanan informasi). Bagaimana seorang professional dalam dunia information security melakukan pekerjaannya untuk dapat menjaga agar ketiga hal tersebut tetap terjaga? Secara sederhana, mereka melakukannya dengan melakukan penjagaan di berbagai lapisan infrastruktur yaitu sebagai berikut:
Gambar 3. Lapisan Infrastruktur Informasi
Melihat sekilas dari gambar 3 di atas, kita bisa melihat bahwa ternyata dalam infrastruktur informasi, aspek physical juga perlu diperhatikan. Tentu sulit dibayangkan apabila data center dari sebuah perusahaan besar mudah diakses oleh sembarang orang bukan? Perusahaan tersebut dipastikan akan memasang sistem physical security yang baik untuk mencegah orang yang tidak berwenang masuk ke dalam fasilitas data centre.
Dari dua perspektif di atas, sudah jelas bahwa physical security dan information security membutuhkan satu sama lain. Tapi bagaimana dengan nasib security convergence yang sudah digembar-gemborkan sekian lama? Ternyata kemajuannya belum berarti bahkan sampai sekarang (2). Riset terbaru dari ASIS Foundation yang disponsori oleh AlertEnterprise menemukan bahwa hanya sedikit organisasi yang menerapkan convergence dalam aspek security di organisasinya (4):
Gambar 4. Penerapan Security Convergence di Organisasi (ASIS Foundation, 2019)
Ternyata dari hasil riset, hanya 19% organisasi yang telah menerapkan security convergence secara penuh di organisasinya (physical security + information security + business continuity). Yang melakukan convergence untuk physical security dan information security hanya 5%. Memang secara keseluruhan, arahnya menuju kepada perbaikan karena 52% organisasi sudah melakukan convergence dalam berbagai bentuk. Oh iya sebagai catatan riset ini dilakukan di Amerika Serikat, Eropa dan India.
Bagaimana di Indonesia? Apakah kita yakin kondisinya lebih baik? Saya pribadi meragukannya. Jarang sekali kita mendengar topik mengenai security convergence di dunia security di Indonesia. Pada seminar Heiland Security Education Seminar di bulan November 2018, Heiland Consulting & Training mengangkat topik ini dengan harapan agar organisasi di Indonesia bisa sadar akan perlunya security convergence untuk diterapkan di Indonesia, agar organisasi-organisasi di Indonesia bisa melakukan identifikasi resiko security dan mitigasi resiko security secara holistik. Lewat artikel ini, kami ingin mengingatkan kembali mengenai hal di atas.
Insiden-insiden seperti yang terjadi di atas akan bisa diperkecil potensinya salah satunya dengan menerapkan security convergence. Kenapa? Karena dengan adanya security convergence tingkat awareness/kewaspadaan dari karyawan di organisasi akan lebih tinggi. Karyawan di bidang physical security akan semakin waspada akan potensi kehilangan data, dan karyawan di bidang IT atau Information Security juga memahami pentingnya aspek physical security dalam menjaga kerahasiaan data. Tapi apakah hal ini cukup? Sebagai reaksi organisasi, membangun security convergence tentu adalah hal yang baik, namun ada hal-hal lain juga yang perlu diperhatikan.
RUU mengenai Kerahasiaan Data Pribadi seharusnya sudah selesai di akhir periode DPR masa bakti 2014-2019 (3), tapi sekarang sudah tahun 2020, RUU ini belum menjadi UU. Hal ini sangat disayangkan, karena dengan adanya payung hukum yang jelas, maka program security convergence pun bisa dirancang dengan lebih selaras. Masyarakat yang menjadi korban dari kebocoran data seharusnya melakukan penekanan kepada DPR dan pemerintah agar mempercepat penyelesaian UU Kerahasiaan Data Pribadi. Saya pribadi menginginkan agar UU ini mengacu kepada GDPR (General Data Privacy Right) milik European Union yang merupakan UU terketat dalam hal data privacy dan juga mengandung hukuman yang sangat berat bagi yang melanggar.
Selain dua hal di atas, tentu kita akan kembali kepada masalah kompetensi personil. Saya sering melihat teman-teman di industry physical security berlomba-lomba belajar mengenai safety. Dan saya sangat setuju dengan hal itu. Namun kenapa sekarang teman-teman tidak mencoba juga belajar mengenai information security? Bagi yang membaca artikel saya sebelumnya Quo Vadis, Satpam Indonesia? https://jurnalsecurity.com/quo-vadis-satpam-indonesia/, tentu sudah maklum akan trend ke depan yang perlu diantisipasi. Belajar mengenai information security secara mendalam tidak mudah, tetapi untuk mengetahui hal-hal dasar (information security awareness), sebenarnya bisa dilakukan oleh siapa saja.
Sebagai rangkuman akhir, saya ingin mengusulkan beberapa hal untuk memperbaiki situasi ini yaitu:
- Penyelesaian UU Kerahasiaan Data Pribadi yang memberikan dasar tindakan hukum yang lebih keras dan tegas kepada organisasi/individu yang memegang data pribadi namun tidak menjaga dengan baik, membocorkan, atau mengambil keuntungan dari penjualan data pribadi
- Sebagai usaha untuk menjaga aset organisasi secara lebih baik, organisasi menerapkan security convergence agar dapat melihat aspek resiko security, analisa kerawanan dan juga melakukan mitigasi resiko security secara holistik dan tidak secara parsial.
- Peningkatan kesadaran (awareness) akan pentingnya kerahasiaan data pribadi di organisasi dan juga di masyarakat
- Peningkatan kompetensi insan security dengan mulai belajar mengenai information security, agar dapat meningkatkan nilai jual di pasar kerja, sekaligus juga melakukan antisipasi terhadap trend ke depan di mana security convergence akan diterapkan di semakin banyak organisasi di seluruh dunia.
Referensi:
- Hacker Klaim Miliki Data Hasil Tes Pasien Covid-19 di Indonesia: https://tekno.kompas.com/read/2020/06/20/07592607/hacker-klaim-miliki-data-hasil-tes-pasien-covid-19-di-indonesia
- Is Security Converging? https://www.asisonline.org/security-management-magazine/articles/2020/01/is-security-converging/
- RUU Perlindungan Data Pribadi Ditarget Rampung di Akhir Periode: https://www.hukumonline.com/berita/baca/lt5cdd1439cf9de/ruu-perlindungan-data-pribadi-ditarget-rampung-di-akhir-periode/
- The State of Security Convergence in the United States, Europe and India, ASIS Foundation, 2019
Profil Penulis
Andreas Immanuel Mulianto, PMP, PSP, CCTP, CSMP, M.ISMI menjabat sebagai Managing Director dari PT Heiland Andalan Indonesia, sebuah lembaga pelatihan dan konsultasi security. Andreas adalah seorang profesional yang berpengalaman lebih dari 25 tahun dalam industry IT dan security, dan berpengalaman memegang proyek2 besar di bidang IT dan security di perusahaan migas terbesar di Indonesia. Andreas belajar mengenai security management di Oxford, United Kingdom, dan memegang beberapa berbagai sertifikasi professional di bidang information technology, manajemen proyek, Physical Security, Counter Terrorism, Security Management dan juga sebagai Master Trainer dari BNSP. Dalam dunia industrial security, Andreas adalah anggota CPSC Board (Certified Physical Security Consultant) di Singapore, pengajar pada program CCTP (Certified Counter Terrorism Practitioner), anggota pada International Security Management Institute (United Kingdom) dan pengajar pada program Gada Utama.
