Mengamankan Sistem IT Enteprise di Era BYOD

Jakarta, CNN Indonesia -- Masih banyak perusahaan memiliki anggapan bahwa dengan memperbolehkan karyawan menggunakan perangkat milik pribadi untuk melakukan aktifitas operasional kantor, maka keamanan sistem IT perusahaan menjadi lebih rentan terhadap serangan, karena seluruh kontrol yang ada diperangkat tersebut berada di tangan karyawan itu sendiri. Oleh sebab itu, tidak heran jika banyak perusahaan masih sangat berhati-hati dan bahkan ragu dalam menerapkan kebijakan Bring Your Own Device (BYOD).

Untuk menggali wawasan lebih lanjut tentang keraguan enterprise dalam menerapkan BYOD, Oracle Research bertanya kepada para pembuat keputusan dalam bidang keamanan dari berbagai perusahaan. Beberapa temuan mengejutkan berhasil diungkap dari hasil laporan penelitian ini, yaitu: 44% dari responden mengatakan bahwa mereka tidak menyukai BYOD atau mengijinkan BYOD diterapkan hanya pada situasi-situasi tertentu, sementara 29% dari responden hanya mengijinkan para karyawan senior untuk menggunakan perangkat milik pribadi dalam aktifitas operasional kantor. Selain itu, hanya kurang dari 10% dari total responden menyetujui penerapan BYOD di perusahaan.

Meskipun banyak pembuat keputusan dalam bidang keamanan di perusahaan tidak ‘menyukai’ BYOD, hal ini tidak lagi dapat terhindarkan. Suka atau tidak suka, setuju atau tidak setuju, saat ini banyak karyawan membawa perangkat milik pribadi ke kantor. Mencoba menghentikan BYOD tidak akan mengembalikan kontrol penuh kepada perusahaan. Justru hal ini bisa mengakibatkan situasi di mana karyawan menggunakan perangkat pribadi mereka tanpa seizin dan pengawasan dari pihak departemen IT.

Jika perusahaan ingin memiliki kontrol terhadap sistem IT serta perlindungan data yang lebih baik, maka pendekatan yang aman pada BYOD merupakan jawaban atas tantangan ini. Dengan pendekatan tersebut, departemen IT akan memiliki kemampuan untuk bisa melihat aktifitas bisnis yang terjadi dan mengetahui langkah-langkah yang tepat guna mengamankan sistem IT perusahaan.

Ada sebuah pandangan yang menyatakan bahwa dengan mengijinkan karyawan membawa perangkat milik pribadi ke kantor, itu akan menciptakan kekacauan dari sisi teknologi serta menimbulkan masalah bagi departemen IT dalam mengintegrasikan dan mengamankan berbagai jenis perangkat yang digunakan di perusahaan. Faktanya, strategi BYOD yang tepat memungkinkan perusahaan untuk mampu memperluas langkah-langkah keamanan yang sudah ada untuk melindungi perangkat pribadi milik karyawan.

Untuk mengatasi tantangan mengenai keamanan dalam sistem BYOD, banyak perusahaan beralih menggunakan strategi COPE (Corporate-Owned, Personally Enabled). Tidak seperti sistem BYOD yang membebaskan karyawan untuk membawa perangkat milik mereka sendiri, dengan strategi COPE, perusahaan menyediakan beberapa perangkat yang dapat dipilih oleh karyawan guna melakukan pekerjaannya.

Perangkat-perangkat yang ditawarkan ini tentu saja telah disesuaikan sedemikian rupa untuk memberikan kontrol dan perlindungan yang lebih baik demi melindungi data-data perusahaan. Namun perlu diingat bahwa selain memprioritaskan keamanan, perusahaan juga harus mampu mengutamakan kenyamanan pengguna dalam mengoperasikan perangkat tersebut; contohnya menghindari permintaan kata kunci hingga berkali-kali; sehingga karyawan berkeinginan untuk menggunakan perangkat tersebut.

Berbeda dengan strategi COPE, dalam BYOD, departemen IT perlu melakukan beberapa penyesuaian terhadap perangkat milik karyawan agar bisa terhubung dengan jaringan di perusahaan. Beberapa hal yang bisa dilakukan adalah dengan mengatur konfigurasi perangkat milik karyawan agar dapat terhubung dengan sistem dan jaringan perusahaan, menerapkan sebuah sistem yang mampu mengawasi perangkat tersebut, mengembangkan langkah-langkah keamanan yang solid tanpa mengorbankan kenyamanan pengguna dalam menggunakan perangkat tersebut.

Dalam BYOD, kenyamanan pengguna menjadi salah satu kata kunci penting, karena kenyamanan ini mampu berikan pengaruh baik terhadap produktifitas karyawan. Dengan mempertimbangkan kenyamanan tersebut, langkah-langkah keamanan yang dikembangkan jangan sampai mempengaruhi data, layanan, dan aplikasi personal milik karyawan yang tersimpan di dalam perangkat.

Hal terakhir yang perlu diperhatikan adalah masalah legalitas atau yang berhubungan dengan hukum. Jika dalam ekosistem BYOD, perusahaan secara tidak sengaja mengakses data-data personal milik karyawannya, maka perusahaan berisiko untuk menghadapi tuntutan secara hukum dari karyawannya. Karena itu, menjaga keamanan data-data pribadi milik karyawan yang tersimpan di dalam perangkat yang digunakan juga sama pentingnya dengan menjaga keamanan data-data milik perusahaan.

Untuk memastikan keamanan terhadap data pribadi milik karyawan maupun data-data perusahaan yang tersimpan di perangkat, ketika menerapkan BYOD, ada beberapa pendekatan yang perlu dipertimbangkan. Salah satunya adalah containerization. Pendekatan ini memastikan bahwa aplikasi-aplikasi milik perusahaan dipisahkan dengan data-data pribadi milik penggunanya di perangkat yang mereka gunakan.

Dengan pemisahan ini, perusahaan akan memiliki kontrol penuh atas area dimana data-data dan aplikasi perusahaan tersimpan dan mereka dapat menerapkan berbagai langkah-langkah yang dibutuhkan guna memastikan keamanannya. Terlebih lagi, dengan adanya sekat pemisah antara data & aplikasi bisnis dengan data dan aplikasi milik pribadi, maka perusahaan tidak perlu lagi khawatir terhadap insiden di mana perusahaan secara tidak sengaja mengakses data-data personal karyawan.

Selain pendekatan di atas, pendekatan lainnya yang dapat dilakukan adalah dengan menggunakan mobile application management (MAM). MAM merupakan sebuah pengembangan dari mobile device management (MDM) yang dapat menerapkan berbagai kontrol keamanan di aplikasi perusahaan yang tersimpan di dalam perangkat.

Beberapa kontrol keamanan yang ditawarkan menggunakan pendekatan MAM seperti: kemampuan enkripsi, otentikasi dan tunnelling berbasis aplikasi. Tindakan pengamanan yang dilakukan dengan MAM tidaklah berfokus pada perangkat, melainkan berfokus pada apa yang diakses oleh pengguna di area data dan aplikasi perusahaan yang tersimpan di dalam perangkat mereka.

Fitur ini memungkinkan perusahaan untuk tetap bisa melindungi sistem dan data penting milik perusahaan yang tersimpan di tersebut yang digunakan oleh karyawan untuk bekerja; baik perangkat personal maupun perangkat dari kantor.

Selain MAM, mobile device management (MDM) juga bisa menyediakan perusahaan kemampuan dalam melakukan beberapa hal untuk mengontrol perangkat pengguna; seperti contoh menonaktifkan fitur dan fungsi kamera yang terdapat di dalam perangkat tersebut untuk alasan-alasan tertentu. Namun, untuk kasus-kasus pada umumnya, MAM sudah mampu menyediakan fungsi keamanan yang user friendly untuk strategi-strategi BYOD maupun COPE.

Teknologi pengelolaan akses dan identitas generasi terbaru akan menjadi penting bagi perusahaan. Pendekatan ini lebih berfokus pada orang yang menggunakan perangkat ketimbang perangkat yang digunakan; menempatkan identitas pengguna sebagai jantung dari sistem keamanan. Sebuah model yang berbasis identitas menggabungkan pengiriman aplikasi secara aman, MAM, ‘MDM-light’ dan containerization untuk menyediakan fleksibilitas bagi perusahaan dan turut membantu menyukseskan penerapan COPE dan BYOD.

Dengan berbagai teknologi dan solusi diatas, saat ini enterprise mampu memberikan kebebasan kepada karyawannya dalam memilih perangkat apa yang mereka gunakan untuk bekerja tanpa kehilangan kontrol terhadap data, aplikasi dan sistem IT mereka, serta tanpa mengorbankan keamanan sistem IT perusahaan.

*) Penulis, Chin Ying Loong adalah Vice President, Oracle Fusion Middleware, ASEAN, Oracle Corporation