Etika Dalam Cyber Security untuk Professional | Digit Oktavianto | Kapita Selekta-11
Kamis, 16 Juni 2022, 13:00 WIB | Via Zoom Meeting
Assalamualaikum wr,wb. Pada mingu kali ini, Pembicara yang akan memberikan materi di kuliah Kapita selekta pada minggu ke-sebelas, adalah Digit Oktavianto Alumni Teknik Informatika Universitas Al Azhar Indonesia angkatan 2006, yang sekarang bekerja di bidang Cyber Security , sebagai Information Security Consulting manager pada perusahaan Metro data group. Pada minggu ini, Tema yang diangkat adalah Cyber Security Ethics for Professional. Atau bisa dibilang Etika dasar yang harus dimilik bagi setiap orang pada suatu organisasi yang berhubungan dengan bidang Cyber Security.
A. Agenda
CyberSecurity
Cyber security merupakan salah satu bidang IT yang dapat berkembang dengan sangat cepat dan pesat. dalam satu dekade, permintaan tenaga kerja di bidang ini bisa dibilang sangat meningkat secara drastis, alasannya adalah terciptanya suatu urgency yang mewajibkan setiap perusahaan harus memiliki keamanan terhadap aplikasi / services milik mereka, otomatis bidang ini menjadi salah satu bidang IT yang berkembang dengan sangat cepat, karena demand/permintaan nya yang cukup banyak bagi suatu organisasi ataupun perusahaan.
Cyber security merupakan pekerjaan yang tidak mudah, alasannya adalah dalam bidang ini, setiap pekerja harus menguasai Field yang behubungan dengan keamanan seperti network security, Secure Code, Kaidah development yang aman, Database infrastruccture security, Web security. Dapat dikatakan bahwa Cyber security memiliki Irisan kecil / bagian kecil yang berhubungan dengan banyak Bidang IT.
Current Trend in Cybersecurity
permintaan / demand terhadap Sub bidang Cyber security, dapat dilihat pada gambar diatas. Bisa dilihat bahwa Automotive hacking berada pada tingkat pertama sebagai Trend Cybersecurity. Automotive hacking adalah kegiatan meng-eksploitasi Software, Hardware, sistem komunikasi yang terhubungan dengan IoT, pada suatu kendaraan roda dua maupun roda empat. Bisa dibilang Hacker dengan kapabilitas tersebut dapat mencuri mobil atau juga dapat bekerja dengan perusahaan mobil dalam mencegah kegiatan hacking tersebut. Deman / trend yang lainnya ada dari sisi Cloud, sisi Cloud bisa dibilang merupakan services yang berpotensi dalam memiliki kelemahan / vulnerability di dalam nya, karena pada dekade ini, sudah banyak organisasi / perusahaan yang sudah melakukan migrasi terhadap data milik perusahaan mereka kedalam Cloud. yang perlu digaris bawahi dari segala trend cybersecurity diatas adalah insider threats, atau ancaman dari dalam suatu organisasi / perusahaan. Ancaman dari dalam merupakan salah satu ancaman yang cukup berbahaya bagi suatu perusahaan.
Alasan kenapa insider threats merupakan ancaman yang cukup berbahaya bagi suatu perusahaan adalah karena Insider threats dapat membocorkan data milik perusahaan atau dapat melakukan Data Breach pada suatu organisasi / perusahaan.
Tipe tipe dari Insider threats dapat dilihat pada gambar diatas, tipe yang pertama adalah Disgruntled employees atau Karyawan yang sudah dipercayai memiliki jabatan tertentu dan kualifikasi tertentu tetapi menyalahgunakan posisi nya untuk berbuat jahat terhadap perusahaan / organisasi. yang kedua adalah Careless Employee atau karyawan yang dari awal tidak memiliki niat untuk melakukan perbuatan jahat, tetapi karena adanya sifat kecerobohan mereka, maka dapat menyebabkan kerugian perusahaan. Contohnya adalah pegawai yang mencantumkan / menuliskan username dan password pada suatu kertas dan menempelkan nya di meja kerja nya, supaya mudah di ingat. Secara tidak langsung itu dapat memberikan Unauthorized akses terhadap akun karyawan tersebut dan dapat membocorkan sensitive info terhadap perusahaan tersebut. dan tipe-tipe threat insider lainnya.
CyberSecurity Professional job
Dalam Bidang cybersecurity, terdapat dua bidang yaitu Offensive Security (RED) dan Defensive Security (BLUE). offensive security adalah bidang yang menguji bagaimana suatu infrastruktur atau suatu sistem memiliki kapabilitas keamanan terhadap aset dalam aplikasi tersebut. Sedangkan defensive security adalah bidang yang mengamankan segala infrasturktur atau sistem dari ancaman dari luar maupun yang mencoba meng-eksploitasi sistem tersebut.
Fields atau bidang dalam Cybersecurity sangat banyak, tidak cuma satu sampai tiga, Bisa lebih dari 20 roles / spesialisasi dengan area — area yang beragam seperti militer, pemerintahan, perusahaan, pabrik, telekomunikasi , bank dan lainnya. itu semua karena pada dekade terakhir ini, semua perusahaan melakukan bisnisnya secara digital dan online, maka mereka wajib membutuhkan Cyber security professional untuk mengamankan aset mereka secara online.
Bisa dilihat pada gambar diatas, cyber security memiliki cukup banyak roles/peranan, yang dibagi menjadi dua bagian yaitu Breaker dan Builder. Breaker bertugas untuk menyerang suatu sistem / infrastruktur dan mencari kelemahan nya. Sedangkan builder bertugas untuk mengamankan suatu sistem dan mencegah Ancaman dari luar maupun dalam pada suatu sistem.
Who is in charge of cyber security in a Company?
Pada bidang cyber security, siapakah yang bertanggung jawab atas keamanan di dalam suatu perusahaan / organisasi? apakah CEO(ChiefExecutiveOfficer), atau CISO (chief information security officer) atau Cybersecurity professional, atau semua orang?? Jawaban nya adalah Semua orang yang ada di perusahaan tersebut, Alasannya adalah karena semua orang memiliki tanggung jawab terhadap keamanan dalam suatu perusahaan atau organisasi. sebagai contohnya adalah ada suatu employee yang bertugas untuk melakukan print-out terhadap file gaji semua employee pada department A, dan ternyata employee tersebut salah melakukan print-out dan malahan mem-print gaji semua employee pada department B-D, oleh karena itu ia harus membuang file tersebut tanpa melakukan Shredding. kesalahan nya adalah employee tersebut tidak melakukan penghancuran/shredding terhadap file tersebut, resiko nya adalah akan terjadinya Sensitive Information leakage pada department perusahaan tersebut.
Oleh karena itu sangat penting bagi suatu perusahaan untuk melakukan evaluasi dan edukasi terhadap semua employee nya terhadap Cybersecurity pada perusahaan nya.
What defines ethics in information security?
Apa yang mendefinisikan Etika dalam Keamanan Informasi? Etika dapat didefinisikan sebagai Aturan moral bagi suatu individual. Dalam perusahaan, etika dapat di masukkan sebagai suatu Kerangka bagi suatu individual untuk mengenali apa yang sifatnya wajar dan tidak wajar bagi perusahaan/organisasi. Kita sebagai employee wajib mengikuti Aturan tersebut sebagai “Code of Conduct”. Sebagai contohnya kita tidak boleh menyebutkan nama asli client, harus menyebutkan nama alias / kode, seperti halnya Plutos untuk client Bank Mandiri dan sebagainya. Dalam ilmu keamanan komputer, Etika Cyber atau Cyber ethics merupakan hal yang dapat membatasi antara Security Personnel dan Hackers, hal tersebut merupakan suatu pengetahuan antara baik dan buruk menyangkut etika profesionalisme bidang cyber security tersebut.
Why is ethics significant to information security?
Kenapa etika memiliki sifat yang signifikan terhadap Keamanan Informasi? Rata-rata, data yang di targetkan pada cyber attacks biasanya merupakan data personal dan data sensitive, kehilangan data yang bersifat sensitive dapat berakibat buruk bagi customer / user, dan data merupakan hal yang sangat krusial bagi suatu individu. oleh karena itu, segala employees yang berkerja pada suatu perusahaan, wajib memiliki etika dan respect yang bagus bagi privasi milik suatu individual. Karena Employee yang terbaik adalah employee yang dapat melihat Best interest milik suatu individual ataupun organisasi.
What are the ethical issues in cybersecurity?
Seorang yang bergelut di bidang Cybersecurity juga harus memiliki suatu skillset yang memadai untuk melakukan kepentingan — kepentingan yang berhubungan dengan keamanan sistem, atau bisa dibilang mereka harus memiliki suatu Skillset untuk melakukan sesuatu yang baik di bidang keamanan siber ini. Sebagai contoh nya adalah bug hunter, dimana mereka bekerja untuk menemukan celah keamanan pada suatu sistem / aplikasi dan melaporkan celah keamanan tersebut kepada developer siste/aplikasi tersebut. Tujuan dari bug hunter dalam melakukan aksinya adalah untuk membuat aplikasi tersebut menjadi lebih aman bagi semua orang. itulah kenapa skill set, ethics dan integritas sangat penting bagi Cybersecurity employees.
Why is cyber-ethic important for cybersecurity
professional?
Moral dan etika adalah dua hal yang membedakan Security personnel dengan para hackers, artinya perbedaan yang signifikan dari Security personnel dan hacker hanya dilihat dari moral dan etika nya saja dalam melakukan pekerjaan professional nya. Pertanyaan yang sangat penting adalah apakah dengan skillset, moral, dan etika yang dimiliki suatu orang dapat menjadikan dia orang baik karena memanfaatkan ketiga aspek tersebut dengan baik atau tidak?. Reputasi juga merupakan hal yang sangat penting dalam bidang Cybersecurity ini karena jika member dari tim cybersecurity anda ternyata careless dan corrupt maka cybersecurity breach akan terjadi dan reputasi tim anda akan rusak.
Cyber-ethic for cybersecurity professional
Etika dalam cybersecurity professional yang pertama adalah jangan pernah berniat untuk merusak, merugikan suatu sistem. karena kita sebagai employee di bidang cybersecurity harus memiliki suatu moral dan etika untuk selalu melakukan pengamanan sistem dan mencari kelemahan pada suatu sistem tanpa merusak dan merugikan sistem.
yang kedua adalah kejujuran, aspek kejujuran dalam bidang cybersecurity merupakan hal yang sangat penting, jika kita mengenyampingkan sisi kejujuran ini, kita dapat merusak reputasi kita sebagai cyber security professional dan merugikan perusahaan / organisasi kita. oleh karena itu, kejujuran itu merupakan aspek yang wajib dimiliki oleh cybersecurity professional.
yang ketiga adalah comprehensive, kita sebagai cyberseucirty professional wajib bekerja secara menyeluruh, dimana kita wajib mengamankan infrastruktur, asset, jaringan, dan segala aspek-aspek yang berhubungan dengan keamanan pada suatu organisasi dan perusahaan. jika saja kita lupa dalam mengamankan / hardening pada suatu aspek dalam sistem, itu akan berdampak buruk bagi suatu perusahaan di kemudian hari dan juga akan berisiko terjadinya Breach dan exploitation. itu semua dikarenakan kita tidak memiliki suatu integritas dan etika terhadap pekerjaan kita di bidang professional ini kepada suatu organisasi / perusahaan.
Yang ke-empat adalah objective and evidence oriented, dimana jika kita memiliki suatu objective dalam pembuatan aplikasi, kita harus memastikan bahwa aplikasi buatan kita tidak hanya bekerja dengan baik tetapi juga harus aman dari segala ancaman yang datangnya dari dalam aplikasi maupun luar aplikasi, dan juga kita harus memastikan bahwa aplikasi buatan kita memiliki kualitas dan keaman yang sangat baik. oleh karena itu objective dalam bidang cyber security merupakan hal yang penting dan krusial karena tanpa objective yang baik, kita sebagai cyber security professional tidak akan dipercaya untuk melakukan pengamanan pada suatu sistem. artinya kita bekerja jangan sekedar bekerja, kita harus memberikan value yang lebih terhadap suatu porject dengan objective yang nyata.
Yang kelima adalah kita harus satu langkah lebih jauh dari para Hackers, setiap harinya, pasti akan tercipta teknik penyerangan dan exploit yang baru, kita sebagai cybersecurity professional harus mengetahui informasi tersebut dan mengecek apakah sistem yang kita amankan sudah kebal dan aman dari teknik penyerangan dan exploit tersebut atau tidak, sebelum para hacker/attackers dapat melihat apakah teknik penyerangan /exploit tersebut dapat diaplikasikan di sistem milik kita.
Yang ke-enam adalah kita harus melihat kebutuhan bisnis yang harus dipenuhi. Biasanya kegiatan / pekerjaan dalam Cybersecurity memiliki suatu potensial dalam menggangu prosedur bisnis harian, oleh karena itu kita sebagai cybersecurity professional wajib melakukan Schedulling dalam melakukan kegiatan / pekerjaan kita agar tidak menggangu kebutuhkan / kegiatan bisnis di suatu perusahaan / organisasi. Rata-rata para professional cybrsecurity lebih memilih bekerja di malam hari karena traffic pada sistem lebih rendah dari siang hari.
Build cyber-ethic in a Company
Lalu bagaimana kita membuat etika cyber dalam suatu perusahaan / organisasi? yang pertama adalah membuat code of conduct, cultures, dan habit kepada employee yang berhubungan dengan bidang keamanan sistem. yang kedua adalah Constant awareness, artinya kita harus selalu memberikan edukasi dan awareness tentang cybersecurity dan keamanan sistem kepada semua employee yang ada pada suatu organisasi / perusahaan. dan yang terakhir adalah Hukuman kepada orang-orang yang melakukan pelanggaran atas moral breaches, harus dibuat dan diketahui bagi semua emplloyee pada suatu organisasi / perusahaan, agar mereka jera dan tidak melakukan hal tersebut untuk yang kedua kalinya.
THE END
