SEMAKIN banyak uang dan sumber daya yang kita keluarkan untuk keamanan, akan semakin banyak penjahat yang mengejar. Setiap kali muncul inovasti teknologi baru, hadir pula ancaman baru --dan terkadang lebih parah-- terhadap bisnis Anda. Tetapi sebenarnya, ancaman itu hanya bentuknya saja yang berbeda.

Serangan virus yang mematikan dan berskala besar yang sebelumnya dilancarkan untuk mendapatkan popularitas telah digantikan oleh serangan yang tak terlihat dan dimotivasi oleh kepentingan finansial dan mencari informasi rahasia. Spam tidak lagi hanya menawarkan Viagra gratis.

Spam kini menjadi mekanisme pengiriman serangan phishing, pencurian identitas, dan program berbahaya. Dan program berbahaya ini tidak hanya datang dalam bentuk email, tetapi melalui plug-in web, insant messenger, smartphone, dan USB drive (antara lain).

Ancaman terbesar terhadap brand perusahaan dan reputasi mereka saat ini bukanlah dari hacker, tetapi dari ancaman internal. Kontraktor yang lupa meninggalkan laptopnya di pesawat tanpa melakukan enkripsi terhadap informasi pribadi. Karyawan yang kecewa dan mencuri ribuan nomor kartu kredit dari database backend untuk dijual di pasar gelap.

Meskipun cakupan risiko bisa menjadi hal yang memusingkan, tapi tidak berarti tidak bisa ditangani. Keamanan merupakan masalah yang hanya perlu ditangani dengan cara yang berbeda saat ini. Mengatasi ancaman internal dan eksternal menggunakan cara yang tidak menghambat kolaborasi atau menguras tabungan memerlukan pendekatan yang berbeda secara fundamental dalam cara kita melihat keamanan.

Pertama, keamanan bukan sekadar mengeliminasi risiko secara tuntas. Tanpa risiko, tidak akan ada peluang. Akan tetapi bisnis, dan profesional keamanan TI yang mereka andalkan, seharusnya lebih fokus kepada pengertian terhadap risiko yang akan memiliki dampak lebih besar, baru kemudian menentukan cara terbaik untuk mengeliminasi risiko-risiko tersebut.

Kini tidak ada lagi dinding yang tidak bisa ditembus di sekitar organisasi. Orang-orang kini merupakan garis pertahanan baru. Karyawan kini ada di mana-mana, mitra sulit dikenali, dan reputasi perusahaan bukan hanya ada di tangan Anda. Perusahaan dipaksa untuk mempercayakan data mereka ke pihak ketiga dan data yang aman tidak selalu ada di dalam kontrol mereka. Dalam lingkungan yang seperti ini, keamanan tidak bisa diwujudkan hanya dengan mengunci semuanya. Keamanan harus membantu membimbing organisasi, mendukung mereka untuk tumbuh dan memiliki keyakinan bahwa infrastruktur, informasi dan interaksi mereka dilindungi.

Inilah Security 2.0. Sama halnya dengan Web 2.0 yang menawarkan cara baru untuk mendongkrak produktivitas, meningkatkan pendapatan, dan menghemat biaya, hal yang sama akan terjadi pada keamanan generasi terbaru ini.

Security 2.0 bukanlah surga. Tetapi ini merupakan evolusi. Security 1.0, yang fokus pada cara membuat sistem aman dan menjaga para penjahat tidak masuk ke dalam sistem, tetap perlu tetapi tidak lagi memadai. Security 2.0 dibangun di atas 1.0 tetapi memiliki perlindungan yang lebih luas terhadap informasi dan interaksi di antaranya. Ini membutuhkan pandangan yang lebih dinamis terhadap keamanan dengan teknologi dan proses yang beradaptasi terhadap reputasi dan perilaku dari perangkat, orang, dan aplikasi. Security 2.0 mula-mula didorong oleh kebijakan, lalu oleh teknologi, dan itu akan dioperasionalkan untuk mempercepat kemajuan dan menurunkan biaya.

Melindungi Informasi, Tidak Hanya Perangkat

Perangkat dan sistem yang kita gunakan hanya merupakan penyimpanan dari aset sebenarnya yang ingin kita lindungi. Informasi. Berhubung baris pertahanan tidak bisa dimatikan, kemananan perlu fokus pada bagaimana melindungi informasi itu sendiri. Ini membutuhkan pengetahuan tentang di mana informasi Anda berada, apa yang sensitif atau rahasia, siapa yang memiliki akses terhadap informasi itu, siapa yang membutuhkan akses terhadap informasi tersebut, dan bagaimana Anda memastikan bahwa itu terlindungi dan tersedia setiap kali Anda membutuhkannya. Menjawab pertanyaan ini menuntut kerjasama antara keamanan, operasional, dan bisnis.

Menurut sebuah laporan IT Policy Compliance Group, 68% organisasi/perusahaan diperkirakan mengalami kehilangan 6 data sensitif per tahun. Karena pelanggaran data membuat perusahaan kehilangan jutaan pendapatan, penurunan harga saham, denda, ataupun loyalitas pelanggan, tidaklah mengejutkan jika perusahaan menanamkan investasi pada solusi baru untuk mengatasi kebocoran data.

Sebuah variasi solusi baru kini hadir untuk mencegah kehilangan data --solusi yang memungkinkan perusahaan untuk menemukan di mana informasi berada di dalam organisasi mereka, untuk membuat kebijakan mengenai hak atau akses, untuk menyaring informasi rahasia dari email dan instant messenger, atau untuk memonitor insiden keamanan dan pola database yang bisa mengindikasikan aktivitas berbahaya. Tetapi tidak ada jurus yang paling ampuh. Pencegahan kehilangan data tidak bisa diatasi dengan satu model teknologi, dan tidak ada yang bisa menggantikan pemahaman mengenai potensi kelemahan proses dan pelatihan para staf Anda.

Tidak Ada Lagi Keamanan Satu untuk Semua

Keamanan harus bisa mengikuti situasi. Pendekatan sederhana terhadap keamanan tidak dapat berfungsi pada kondisi ancaman saat ini dan lingkungan bisnis yang terus berubah.

Sebagi contoh, kontrol terhadap informasi. Anda tidak akan menghabiskan ribuan dolar untuk melindungi gambar-gambar yang diambil pada acara piknik perusahaan, tetapi Anda akan melakukannya untuk melindungi dokumen desain, source code, atau nomor kartu kredit. Pasalnya, posisi kompetitif dan reputasi perusahaan bergantung padanya.

Pada Security 2.0, keamanan beradaptasi terhadap tingkat risiko, apa yang perlu dilindungi, dan reputasi entitas-entitas yang mencoba mengakses sistem dan informasi Anda. Parameter keamanan harus secara otomatis berubah tergantung pada apa yang dihubungkan pengguna ke jaringan dari dalam firewall atau dari Warnet di bandara. Keputusan harus dibuat berdasarkan pada perilaku pengguna, catatan sejarah, dan kebijakan yang diterapkan.

Kami melihat hal ini sudah tersedia dengan solusi anti-spam, yang dapat menganalisa perilaku dan reputasi alamat IP untuk menentukan pesan apa yang perlu diblokir. Teknologi seperti whitlisting dan perlindungan terhadap ancaman secara proaktif pada produk seperti Symantec Endpoint Protection merupakan contoh lain dari keamanan berbasis reputasi. Teknologi-teknologi ini mempertimbangkan perilaku baik dan buruk untuk menentukan aplikasi dan perintah eksekusi mana yang diperkenankan.

Mengoperasionalkan Keamanan

Mungkin perubahan terbesar dalam Security 2.0 adalah bagaimana ia digunakan di dalam sebuah organisasi/perusahaan. Saat ini, sebagian besar organisasi/perusahaan mengatasi keamanan dan risiko secara terpecah-pecah, dengan kelompok-kelompok  dalam perusahaan mengimplementasikan berbagai proses dan teknologi yang saling tidak berhubungan untuk meredakan risiko. Risiko ini seringkali saling berinterkoneksi, tetapi sayangnya proses dan teknologi tidak demikian.

Untuk menurunkan biaya operasional dan membuat keamanan lebih efektif, proaktif, dan terukur, keamanan perlu diterapkan dalam seluruh proses bisnis sejak awal. Kebijakan harus secara konsisten ditetapkan dan disosialisasikan sebelum kontrol bisa diterapkan. Perusahaan yang berhasil akan melihat kebijakan terlebih dahulu, baru kemudian mengimplementasikan teknologi untuk melakukan otomatisasi. Bukan sebaliknya.

Dengan mengoperasionalkan keamanan --standardisasi, otomatisasi, dan menekan biaya aktivitas pengamanan harian-- perusahaan dan TI bisa lebih proaktif saat berurusan dengan perlindungan.

Pengamanan merupakan elemen penting dalam kesehatan sebuah organisasi. Kita perlu mulai memperhatikan keamanan seperti halnya kita memperhatikan kesehatan kita sendiri --fokus pada perawatan preventif bukan hanya menemui dokter saat Anda mengalami serangan jantung. Pertimbangkan berapa rendahnya biaya kesehatan jika Anda mengonsumsi vitamin, makan dengan benar dan melakukan olah raga. Hal yang sama bisa dilakukan untuk keamanan.

John Lee, Director, Channel & Alliance, Asia South Region, Country Director, Thailand and Indonesia (jri)