ardians’ blog

“Saya pusing dengan password yang panjang minimalnya 8 karakter, ada huruf besar, ada huruf kecil, ada angka dan ada simbol. Apalagi ini harus diganti setiap 1 bulan sekali. Saya minta aturan konyol ini dihilangkan saja!”

Anda pernah mendapat keluhan seperti ini? Kalau kebetulan anda berada di level operasional maupun level pembuat kebijakan yang berkaitan dengan security policy, ini termasuk dalam kategori masalah klasik. Dan ini hanya sebagian kecil dari masalah rutin yang sering dihadapi oleh Information Security Officer.

Bosan? Jengkel? Marah? Tunggu. Tergantung dari siapa yang meminta. Kalo itu user biasa yang tidak punya hak memecat anda atau bisa menurunkan anda dari jabatan anda yang basah menantang atau bisa memotong bonus tahunan, ndak papa lah kalo sedikit dicuekin. Kalo masih bandel, ya di briefing mengenai resiko dari tindakan yang diminta, tentang pentingnya kepatuhan terhadap regulasi, kemungkinan tercurinya data dan alasan lain yang dirasa menakutkan. Tapi masalahnya tidak akan selesai di situ kalo yang meminta adalah orang yang berkuasa atas hidup anda di perusahaan.

Sebetulnya anda masih bisa menerapkan pendekatan yang sama dengan user biasa di atas. Strict to the rules. Tapi di beberapa perusahaan yang masih kental dengan kultur kolonialismenya, saya ndak nanggung kalo bulan depan anda sudah dimutasi ke Papua.

Lalu apa yang harus saya perbuat? Berikut alternatif-alternatif yang bisa anda pilih

Alternatif 1:
Resign dan cari pekerjaan lain.

Alternatif 2:
Lakukan perintah dari oknum pihak manajemen tersebut. Jangan bertanya atapun membantah. (*Ini kalo anda belum siap dimutasi ke Papua*). Ingat aturan OSPEK jaman dulu. Senior tidak pernah salah.

Alternatif 3:
Dokumentasikan secara tertulis resiko dari permintaan manajemen anda tersebut dan informasikan kepadanya. Informasikan juga bahwa anda akan mengakomodasi permintaan mereka jika dan hanya jika anda mendapatkan tandatangan dari Information Security Department (itu juga kalo ada ). Oya, tambahkan juga pernyataan kalo anda tidak akan bertanggungjawab jika dikemudian hari muncul security breach akibat permintaan mereka ini.

Jika manajemen anda masih memaksa dan menutup diri terhadap argumen anda, lihat alternatif pertama. Ada banyak perusahaan di luar sana yang memiliki manajemen yang lebih smart dan bijaksana.

Jika kebetulan manajemen anda termasuk golongan smart dan bijaksana, informasi dari anda seharusnya akan membuat mereka mempertimbangkan permintaannya demi kebaikan perusahaan. Dan jangan kaget kalo bonus anda tahun ini berlipat-lipat karena telah secara proaktif turut mengamankan aset/informasi perusahaan *halah*

Anda punya alternatif lain?