Keterbatasan SDM di tengah semakin marak dan kompleksnya serangan siber adalah dua tantangan terbesar yang dihadapi enterprise di seluruh dunia, termasuk Indonesia.
Intel Security menyinyalir bahwa pada tahun 2019 nanti sekitar 1 hingga 2 juta lowongan pekerjaan di bidang keamanan siber tidak akan terisi. Ini disebabkan oleh karena tidak sesuainya skill yang dimiliki para kandidat dengan kebutuhan. Bukan hal yang mengejutkan sebenarnya karena dewasa ini pun hampir 82 persen enterprise di seluruh dunia mengeluhkan keterbatasan jumlah sumber daya manusia yang mumpuni di bidang keamanan siber.
Tantangan tersebut menjadi semakin kompleks oleh semakin marak dan canggihnya serangan siber. Mckinsey & Company dan World Economic Forum mengungkapkan bahwa mayoritas eksekutif enterprise di seluruh dunia yang telah diwawancarai berpendapat bahwa kecanggihan serangan siber dari tahun-ke tahun terus meningkat secara lebih cepat dibandingkan kemampuan organisasi mereka untuk melindungi diri.
Mengantisipasi Serangan Siber
Enterprise di Indonesia pun tak lepas dari persoalan yang sama. Meski tidak ada data yang komprehensif, minimnya ketersediaan tenaga kerja di bidang keamanan siber ini telah menjadi keprihatinan berbagai pihak.
Apalagi Indonesia juga termasuk negara yang menjadi target utama serangan siber. Tahun lalu Indonesia Security Response Team on Internet Infrastructure (IDSIRTII) menemukan bahwa dalam kurun waktu Januari hingga Juni 2016 ada sekitar 90 juta serangan siber atau dengan kata lain setiap harinya ada sekitar 2 juta serangan.
Berbagai tantangan ini yang kemudian coba direspon organisasi-organisasi di Indonesia dengan meningkatkan alokasi anggaran keamanan siber. Menurut laporan PwC, ‘The Global State of Information Security Survey 2017, organisasi di Indonesia siap mengadopsi teknologi terkini untuk mengatasi ancama serangan siber. Bahkan mereka juga tidak segan menggunakan layanan TI model cloud, termasuk layanan managed services dan pemanfaatan open source jika memang mampu memberikan keamanan terhadap data dan informasi berharga mereka.
Fakta ini tentu sangat mengejutkan, karena selama ini persoalan keamanan, menjadi penyebab lambannya enterprise mengadopsi cloud. Mengapa cloud bisa lebih aman dibandingkan on-premise? Jawabannya adalah karena pada umumnya serangan-serangan terhadap sistem yang rentan banyak disebabkan oleh karena tidak memiliki Disaster Recovery Plan (DRP). Sementara Data Center (DC) yang memberikan layanan cloud umumnya telah memiliki DRP yang tersedia untuk pelanggan mereka.
Perlu diingat bahwa banyak perusahaan besar tidak memiliki DRP yang efektif walaupun sebenarnya mereka telah menyadari bahwa sebuah bencana dapat mempengaruhi keberhasilan dan kelangsungan bisnis mereka. Lihat saja hasil riset Citrix yang mengungkapkan bahwa 86 persen responden menyebutkan keamanan menjadi kekhawatiran utama, tetapi 60 persen dari semua informasi dan data mereka disimpan secara lokal di komputer (desktop atau laptop) dan tidak di-backup di tempat lain.
Cloud juga menawarkan sistem backup data dan informasi yang lebih mumpuni. Sementara itu hingga saat ini masih banyak organisasi menyimpan data pada perangkat atau media fisik. Meski cara ini tidak salah (dengan asumsi data tersebut di backup ke lebih dari satu media), namun persoalannya adalah backup dilakukan hanya pada satu tempat, di mana hal tersebut mengurangi esensi dari backup data. Jika bencana terjadi, semua data akan hilang dan memerlukan waktu lebih lama memulihkannya.
Soal infrastruktur fisik layanan cloud juga lebih memberi keamanan. Sebaliknya on-premise lebih rentan menjadi target dan korban serangan siber karena kurangnya keamanan secara infrastruktur fisiknya. Jaminan keamanan cloud pun kini sudah ada standarnya yakni dengan adanya sertifikasi oleh ‘ Cloud Security Alliance’ (CSA) dan ‘Internasional Information Systems Security Certification Consortium’ (ISC).
Memilih Cloud untuk Bisnis
Tentu saja persoalan keamanan ‘hanya’ menjadi salah satu pertimbangan beralih ke cloud. Sejumlah hal mulai objektif bisnis Anda (dan juga objektif penyedia layanan), biaya, keamanan, lokasi, dan konsistensi performa harus menjadi pertimbangan utama.
Sebelum menyetujui kontrak dengan penyedia, pastikan penyedia tersebut benar-benar mengerti bisnis dan objektif bisnis Anda yang Anda harapkan dengan beralih ke cloud. Perhatikan betul apa yang dijanjikan oleh penyedia tersebut. Beri kesempatan pada seluruh pemimpin bisnis Anda – tidak hanya pemimpin bagian TI – untuk mengutarakan pendapatnya. Hal ini dapat membantu memastikan objektif bisnis Anda terkomunikasikan dengan baik, dan pada akhirnya dapat dimengerti oleh penyedia.
Lokasi DC merupakah salah satu faktor utama dalam mempertimbangkan penggunaan cloud, terutama di Indonesia. Hal ini dilatarberlakangi dengan Peraturan Pemerintah (PP) No. 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik pasal 17 yang mengatur penempatan lokasi DC maupun DRC di wilayah Indonesia. Dan sebagai catatan, PP No. 82 Tahun 2012 berlaku wajib yang ditujukan untuk penyelenggaraan sistem TI yang bersifatnya pelayanan publik, misalnya industri keuangan yang datanya merupakan data nasabah. Untuk penyelenggaraan pelayanan sistem TI yang non publik sifatnya tidak wajib, sesuai pasal 5 yang mengatur Pendaftaran.
Oleh karena itu, pelaku bisnis terutama di Indonesia memiliki keleluasan dalam memilih opsi cloud di mana data yang sifatnya data publik dapat menggunakan layanan cloud yang DC dan DRC-nya berlokasi di wilayah Indonesia, dan untuk data yang sifatnya non publik (misalnya internal perusahaan) dapat menggunakan cloud di luar wilayah Indonesia.
Dari segi keamanan, bagaimana penyedia mengamankan datanya sangatlah penting. Untuk lebih mempermudah calon pelanggan, mereka bisa melihat dan sebaiknya memilih provider-provider yang telah memiliki sertifikat Security Trust and Assurance Registry (STAR) yang dikeluarkan oleh Cloud Security Alliance (CSA) dan British Standards Institution (BSI). Hal ini dapat mempermudah karena penyedia yang telah mendapatkan sertifikat tersebut akan masuk kedalam list CSA STAR Registry, memberikan insight kepada pelanggan tentang seberapa kuat sistem keamanan penyedia layanan cloud tersebut.
Hal lain yang juga penting untuk dijadikan bahan pertimbangan adalah kapasitas dari penyedia layanan cloud yang akan dipilih. Walau hal ini jarang terjadi, namun fenomena yang disebut juga dengan “noisy neighbor” bisa memunculkan risiko apabila penyedia layanan cloud mengalami over capacity yang disebabkan oleh penyedia memiliki klien yang menggunakan mayoritas kapasitas dari resource yang tersedia, misalnya jaringan yang disebabkan salah satu pengguna cloud mengalami peak traffic. Oleh karena itu sangat penting memiliki informasi mengenai kondisi DC dari penyedia layanan cloud, terutama apabila Anda ingin menyimpan data-data yang sangat penting.
