Betapa luasnya tugas dan tanggung jawab IT Security

Segala sesuatu yang terkait dengan CIA (confidentiality, integrity dan availability) relevant untuk dijadikan sebagai tugas dan tanggung jawab IT Security. Dapat dibayangkan betapa luasnya ruang lingkup tugas dan tanggung jawab IT Security.

Semua tentu sepakat bahwa tugas dari IT security pasti terkait dengan CIA tersebut. Jika dilihat dari sudut pandang unit kerja IT, seluruh bagian yang ada di dalam unit kerja IT pasti memiliki seluruh atau sebagian aspek yang ada di dalam CIA.




Ruang lingkup tugas dan tanggung jawab IT security di dalam IT sangat luas bahkan tak terbatas jika melihatnya secara maksimal sehingga seolah-olah tidak mungkin dapat dikerjakan dengan efektif oleh unit kerja IT security sendirian, tetapi jika melihatnya secara optimal dan dilaksanakan dengan pendekatan yang tepat maka meskipun sangat luas ruang lingkupnya maka tugas dan tanggung jawab IT security akan dapat dilaksanakan secara efektif, bagaimana caranya?.

Semua tentu mengetahui bahwa ada yang lebih luas lagi ruang lingkup tugas dan tanggung jawabnya dibanding dengan IT security, siapakah?. Tentu pimpinan puncak dari suatu organisasi.

Tugas dan tanggung jawab pimpinan puncak suatu organisasi dapat dilaksanakan secara efektif karena pimpinan tersebut menyadari akan pentingnya memahami dengan baik konsep atau persepsi bahwa wewenang dapat didelegasikan dan tanggung jawab tidak dapat didelegasikan. Dapat dibayangkan bagaimana jadinya jika pimpinan suatu organisasi tidak mendelegasikan kewenangannya tetapi menjalankan sendiri seluruh kewenangannya, tentu ia akan kerepotan sendiri sementara pegawainya berleha-leha.

Konsep bahwa wewenang dapat didelegasikan dan tanggung jawab tidak adalah merupakan konnsep yang sangat powerfull di dalam menjalankan manajemen termasuk manajemen IT security dan manajemen lainnya. Manajemen yang tidak percaya dengan konsep tersebut biasanya adalah manajemen yang tidak sabaran karena maunya serba instan.

Inti dari management adalah “how to get the job done”, bagaimana pekerjaan dapat segera diselesaikan, setelah melihat hasilnya, orang rata-rata tidak akan melihat dan menanyakan bagaimana cara melakukan pekerjaan tersebut.

Seperti disebutkan di atas bahwa wewenang dapat didelegasikan tetapi tanggung jawab tidak dapat didelegasikan. Dengan menggunakan konsep inilah “how to get the job done” dapat diimplementasikan dengan optimal.

Pada dasarnya jika memungkinkan seluruh tanggung jawab dan wewenang suatu unit kerja berada pada unit kerja tersebut, tetapi kadang-kadang pada prakteknya dengan luasnya ruang lingkup pekerjaan maka seluruh tanggung jawab dan wewenang yang ada akan sulit jika seluruhnya berada di unit kerja tersebut.

Seperti disebutkan di atas bahwa tanggung jawab tidak dapat didelegasikan, maka pilihan tinggal pada wewenang apakah wewenang akan didelegasikan atau tidak. Keputusan apakah akan mendelegasikan wewenang ke unit lain berada di tangan kepala unit kerja tersebut.

Keputusan untuk mendelegasikan atau tidak mendelegasikan wewenang adalah merupakan pilihan yang sama seperti keputusan untuk melakukan outsource atau tidak, jadi dalam hal ini tidak ada yang salah atau yang benar.

Keputusan pendelegasian wewenang pilihannya bisa menjadi ekstrim yaitu, melakukan pendelegasian seluruh wewenang atau kita sebut desentralisasi, atau sama sekali tidak dilakukan pendelegasian wewenang atau kita sebut sentralisasi. Tetapi tentu saja ada pilihan yang ditengah, yaitu sebagian sentralisasi dan sebagian desentralisasi.

Dengan menggunakan konsep sentralisasi dan desentralisasi wewenang tersebut maka tugas unit kerja dapat dilakukan secara optimal. Seperti disebutkan di atas bahwa pada implementasinya pendelegasian dapat dilakukan secara mixed, misalnya untuk tugas A dilakukan secara sentralisasi dan untuk tugas B dan C dilakukan secara desentralisasi.

Terdapat kekurangan dan kelebihan dari desentralisasi atau sentralisasi. Di dalam desentralisasi kelebihannya adalah tidak perlu mempekerjakan banyak orang pada unit kerja tersebut karena pekerjaan dilakukan oleh unit kerja lain dan kekurangannya adalah perlu diterapkan control yang sangat ketat karena kendali tidak sepenuhnya berada di unit kerja yang bersangkutan, sedangkan di dalam sentralisasi kelebihannya adalah tidak diperlukan control yang sangat ketat karena kendali sepenuhnya berada pada unit kerja yang bersangkutan, kekurangannya adalah perlu dipekerjakan banyak orang.

Kembali ke pembahasan mengenai Ruang Lingkup Tugas Information Technology Security, maka dengan mengacu pada penjelasan di atas seberapa pun luasnya ruang lingkup tugas dan tanggung jawab IT security maka dengan menggunakan pendekatan di atas maka tugas dan tanggung jawab IT security tersebut dapat dilaksanakan secara efektif.

Pendelegasian wewenang juga sebetulnya dapat dilakukan dalam konteks menyelesaikan pekerjaan sehari-hari, karena dalam penyelesaian pekerjaan sehari-hari juga terdapat prinsip “how to get the job done”. Jika ada yang mengkritik itu artinya tidak konsisten, jawabannya adalah selama tanggung jawab tidak ikut didelegasikan maka masih dapat dikatakan konsisten, lain halnya jika tanggung jawab juga didelegasikan.

Dari penjelasan tersebut di atas dapat diambil kesimpulan bahwa pendelegasian wewenang dapat dilakukan secara permanen, semi permanen dan non-permanen dengan syarat tetap memegang teguh prinsip wewenang dapat didelegasikan sedangkan tanggung jawab tidak dapat didelegasikan.

Pendelegasian wewenang yang dilakukan dalam konteks menyelesaikan pekerjaan sehari-hari dikategorikan sebagai pendelegasian wewenang non-permanen.

Menerapkan pendelegasian tugas pada IT security dapat juga didorong dengan menghimbau atau mengkampanyekan bahwa IT security adalah tanggung jawab setiap orang.

Unit kerja IT Security dapat diibaratkan sebagai polisi atau tentara yang bertanggungjawab terhadap keamanan dan pengamanan Negara.

Seperti polisi dan tentara di dalam menjaga keamanan dan pengamanan negara tentu saja perlu adanya partisipasi dari warga atau masyarakat.

Contoh bentuk partisipasi masyarakat dalam security adalah membentuk siskamling (sistem keamanan lingkungan), memperhatikan aspek keamanan rumah (seperti memperhatikan aspek keamanan saat membangun rumah tersebut) dan lingkungan sendiri.

Pada saat masyarakat membuat rumah, sudah selayaknya seluruh aspek keamanan rumah tersebut harus diperhatikan oleh yang membangun rumah tersebut, bukan oleh polisi atau tentara. Akan sangat tidak efisien dan efektif bahkan mungkin sama sekali tidak relevan jika pada saat orang membangun rumah yang diperhatikan hanya aspek-aspek yang non-security saja, tetapi saat menyangkut aspek security seperti pemasangan kunci, pintu, jendela dan teralis segera diserahkan ke polisi atau tentara, tentu ini tidak relevan.

Demikian pula di dalam melakukan development sistem aplikasi, si pembuat aplikasi tersebut harus memperhatikan aspek keamanan aplikasi tersebut secara seksama. Pada saat mengembangkan aplikasi si pembuat aplikasi tidak hanya fokus pada bagaimana aplikasi tersebut bisa berjalan tetapi juga memperhatikan aspek keamanan sistem aplikasi tersebut, aspek keamanan aplikasi tersebut tidak hanya diserahkan ke unit kerja IT security.

Demikian pula dalam hal administrasi security atau user-id, tidak perlu selalu diserahkan ke unit IT security. Selalu memaksakan bahwa IT security harus merupakan satu-satunya unit yang bertanggung jawab mengadministrasikan security itu sama saja diibaratkan masyarakat pemilik rumah harus selalu menitipkan kunci rumahnya ke polisi atau tentara.

Implementasi IT security yang efektif tidak perlu berarti tugas IT security harus selalu dilakukan sepenuhnya oleh unit kerja IT security. Tugas IT security dapat juga sebagai motivator bagi unit kerja lain untuk berpartisipasi dan bertanggungjawab terhadap security.