Beberapa waktu lalu saat mendapatkan kesempatan mengajar kelas Network Security, saya bertemu dengan beberapa teman engineer dari perusahaan BUMN. Mengenai nama BUMN baiknya tidak saya sebutkan disini demi etika dan kesopanan. Mereka rela mengikuti training 4 modul yang harus dihabiskan selama empat minggu berturut-turut demi objektif yang sedang saya pertanyakan ini.
Di awal training seperti biasanya kami berkenalan dan pada akhirnya saya menanyakan motivasi mereka mengikuti training semacam ini. Tidak disangka, ternyata mereka ingin memiliki tools atau semacam software penyerang yang rencananya dipakai untuk menyaingi salah satu karyawan yang "bandel". Belakangan saya tahu bahwa karyawan yang bandel itu tidak lain adalah rekan kerjanya sendiri! Dan melalui obrolan yang intens, saya mendapatkan informasi bahwa karyawan yang "bandel" ini adalah seorang junior di perusahaan tersebut namun mendapatkan jabatan koordinator di lingkungan mereka. Sepertinya sebagai rekan seniornya mereka tidak mau diatur ya :-?
Mereka adalah contoh script kiddies, orang yang tidak punya kemampuan hacking namun mencoba menggunakan software dan tools hacking yang rencananya dipakai untuk tujuan tertentu. Hal-hal seperti diatas adalah salah satu contoh dan kesamaan masalah di sebuah organisasi yang sama sekali tidak memiliki policy. Apakah mereka tidak bisa membuatnya atau tidak mau membuatnya? Seringkali hal seperti ujung-ujungnya masalah politis saja. Securitypolicy menjadi hal yang tidak diperhatikan. Padahal hal ini menyangkut keamanan dan confidentiality sebuah organisasi. Cerita tentang teman-teman engineer di salah satu BUMN tersebut menggambarkan betapa Internal Relations belum solid.
Secara teoritis dan praktikal, pertahanan yang paling baik adalah dengan membangun Internal Relations dan Internal Policy yang sistematis. Setelah Internal Relations dan Policy-nya dibentuk, barulah memperkuat pertahanan dari luar. Sehingga bila berbicara tentang Network Security, IT Security, Data Confidentiality atau semacamnya, cobalah pertanyakan lebih dahulu; "Apakah Anda memiliki Organization Policy?" Naaaah, kalo sudah membuat "Policy" baru yang lainnya...