Di sisi keamanan data dan keandalan sistem, cloud pun menjadi
sebuah jawaban bagi UKM. Apalagi jika melihat perangkat UKM yang umumnya berupa
PC yang sudah menua dan data yang hampir tak pernah di-backcup. Meskipun begitu, jangan pernah pula berasumsi bahwa cloud adalah
tempat teraman dan sistem terandal. Sebaiknya pebisnis UKM menelaah sepuluh
rekomendasi Cloud
Security Alliance (CSA)
berikut agar dapat menikmati layanan awan yang aman. CSA adalah asosiasi
industri yang khusus didirikan untuk mempromosikan keamanan di cloud.
1. Kenali dan
perhitungkan nilai aset
Setiap UKM
yang berniat menggunakan jasa cloud
sebaiknya menelaah dengan cermat aset berikut nilainya, terutama aset yang
akan dialihkan ke cloud. Selain PC,
server, storage dan
sebagainya, aset juga mencakup aplikasi, semisal CRM, accounting, sistem operasi; dan data/informasi
personal klien.
Langkah berikutnya adalah memperhitung-kan nilai aset
tersebut. Pertimbangkan berapa besar value
atau nilai aset tersebut bagi
perusahaan, Dengan mengenal dan memahami nilai aset, UKM akan lebih mudah
menentukan tingkat keamanan yang dibutuhkan untuk menjaga aset tersebut.
2. Perhitungkan kewajiban
Kecemasan
yang sering diutarakan pengguna cloud
adalah sistem diterobos dan data dicuri. Bukan masalah jika data yang
hilang atau dicuri sebatas milik kantor. Namun isu tanggung jawab harus
diperhitungkan ketika informasi atau data klien/customer yang disikat pencuri.
Pasalnya, bukan si provider-lah yang dimintai tanggung jawab tetapi
UKM sebagai pemilik data klien.
3. Pahami
syarat-syarat kepatuhan (compliance)
Untuk
beberapa sektor industri, pemerintah bersikap tegas dalam hal pengelolaan data
elektronik. Misalnya, di industri perbankan dan keuangan, pemerintah berbagai
negara melarang bank menyimpan dan mengelola data nasabah di luar wilayah
negara yang bersangkutan.
Dalam sektor-sektor industri semacam ini, jumlah dan jenis
kontrol keamanan umumnya sangat jelas didefinisikan dan diatur oleh regulasi.
Jadi, bagi UKM yang bergerak di sektor-sektor seperti ini hendaknya membuat
daftar tentang regulasi kemanan data berikut syarat-syaratnya.
4. Tentukan toleransi risiko
Beranikah
menganggung risiko? Berapa besar kemampuan Anda menanggung risiko, jika melihat
kewajiban, regulasi, dan pentingnya aset bagi perusahaan? Bukan hanya soal
keberanian dan kemampuan, tetapi juga biaya untuk memastikan keamanan data.
Makin ketat keamanan yang Anda inginkan dari cloud provider, makin mahal pula layanan yang akan
dilanggani. Saran CSA adalah jangan tergiur solusi cloud berbiaya murah.
5. Cari tahu proses
di sisi cloud provider
Pelajari
penawaran dari para provider, terutama
rincian bagaimana layanan cloud itu disajikan
ke klien (yaitu Anda), di mana dan bagaimana data diletakkan, atau dipindahkan,
kontrol sekuriti apa yang diberlakukan provider
secara default, dan maukah
serta mampukah provider menyediakan
solusi sekuriti sesuai permintaan Anda?
Tanyakan kepada provider,
jenis dan tingkat pengamanan enkripsi
yang ditawarkan; bagaimana persiapan provider
untuk business continuity. Saran CSA: UKM harus memetakan segala sesuatunya sejak
awal, karena membuat perubahan di tengah jalan justru makin membuatnya rumit
dan mahal
6. Tanyakan sertifikat Security dan Reliability
Ini langkah
memintas jalan uji ketuntasan terhadap kontrol keamanan yang ditawarkan provider. Tanyakan berbagai sertifikat yang
mungkin mereka miliki atau Anda bisa menyelidikinya di situs web si provider. Contoh sertifikat: dari CSA ada
program sertifikasi di bawah Trusted Cloud Initiative, atau yang lebih umum
ISO27001 Information Security Standards.
7.
Cantumkan kontrol keamanan secara eksplisit di dalam
kontrak
Pelajari
dengan cermat apa yang tertulis dalam kontrak, terutama pasal-pasal yang
menyangkut keamanan. Jika provider bersikap
luwes dan mau bernegosiasi, tetapkan dalam kontrak jenis dan tingkat enkripsi
yang Anda inginkan, termasuk cara-cara mencegah data hilang, misalnya
menggunakan redundant
storage.
8. Negosiasikan SLA dan strategi
exit
Sekuriti di cloud bukan hanya soal proteksi
data tetapi juga tentang kontinuitas bisnis. Jadi pastikan Service Level
Agreement (SLA) yang disepakati mencakup presentase uptime dan time to response
saat ada masalah. SLA juga mencantumkan penalti finansial jika provider gagal
memenuhi SLA yang telah disepakati. Pastikan Anda tetap dapat berpindah ke
layanan milik provider lain dengan mudah dan aman.
9. Siapkan langkah
pengamanan offline
Misalnya
dengan menyiapkan backup data di cloud secara offline atau mempertahankan hak kontrol
terhadap kunci enkripsi.
10.Baca panduan dari Cloud Security Alliance
Tidak ada komentar:
Posting Komentar