Clean Desk Policy untuk Keamanan Informasi

Oleh: Sinta Agustin, Pegawai Direktorat Jenderal Pajak

Loh, data saya kenapa tiba-tiba hilang? Mungkin ujaran tersebut kerap muncul pada keseharian lingkungan kerja, utamanya bagi pegawai yang berada di balik meja. Sebagai pengguna akhir (end user) sistem perangkat lunak, seringkali pegawai mengabaikan keamanan data dan informasi pada lingkungan kerjanya. Tak jarang dokumen yang bersifat strategis pun kurang diperhatikan media penyimpanannya. Padahal, ancaman pencurian dan penyalahgunaan data kian meningkat seiring kemudahan teknologi dan informasi yang semakin berkembang.

Ancaman Siber pada Direktorat Jenderal Pajak

Pada tahun 2018, laman milik Direktorat Jenderal Pajak sempat diretas oleh pihak yang tidak bertanggung jawab. Oknum yang menamakan diri sebagai Anonymous Arabe ini, berhasil mengambil alih laman beranda Pajak.go.id dan mengganti halaman depan situs dengan foto perang di kawasan timur tengah. Berdasarkan catatan Badan Siber dan Sandi Negara (BSSN), selama kurun waktu 2018, wilayah kedaulatan Indonesia mengalami sekitar 232 juta percobaan serangan siber. Di antaranya sebanyak 122 juta serangan malware dan 16.000 jenis serangan inside dan outside. Hal ini mengisyaratkan bahwa serangan siber merupakan ancaman nyata yang patut diwaspadai.

Lalu, benarkah Direktorat Jenderal Pajak rawan menjadi sasaran serangan siber? Sebagai institusi pemerintah yang memiliki fungsi strategis dalam bidang penerimaan negara, tentunya DJP layak menjadi target ancaman siber. Selain menyimpan data perpajakan dari seluruh Wajib Pajak yang terdaftar, DJP juga menyimpan data perpajakan dari negara lain. Pun masih ada data pribadi pegawai DJP yang tidak sedikit jumlahnya. Informasi tersebut rawan disalahgunakan apabila jatuh kepada pihak yang tidak tepat.

Kurangnya kepedulian akan keamanan informasi pada lingkungan kerja dapat berdampak tidak hanya kepada pegawai yang bersangkutan, tetapi juga dapat berakibat buruk pada institusi secara keseluruhan. Bahkan acapkali terdengar keluhan akibat permintaan penggantian kata sandi (password) yang terlalu sering, atau bahkan kecepatan memuat laman aplikasi berbasis web yang cukup lama. Sejatinya, hal-hal tersebut dilakukan untuk meminimalisir potensi kebobolan atau pencurian data.

Upaya Perlindungan Informasi oleh Institusi

Dalam beberapa tahun terakhir, DJP telah mengembangkan sistem proteksi sebagai upaya untuk mengurangi risiko ancaman serangan siber yang semakin meningkat. Pada 2017, sukses dicanangkan program join domain ke seluruh unit kerja vertikal DJP. Selain itu, pada tahun yang sama, DJP mampu memenuhi persyaratan keamanan informasi sebagai dasar penerbitan kebijakan Exchange of Information (EOI). Tidak berhenti sampai disitu saja, pada  2018 DJP semakin meningkatkan kepeduliannya akan keamanan informasi dengan membatasi akses aplikasi internal hanya dengan menggunakan perangkat komputer yang terintegrasi dalam domain DJP. 

Dalam rangka menyebarkan kepedulian pegawai akan keamanan informasi, baik Menteri Keuangan maupun Direktur Jenderal Pajak telah mengeluarkan kebijakan terkait keamanan informasi sebagai berikut:

1. KMK Nomor 479/KMK.01/2010 tentang Kebijakan dan Standar Sistem Manajemen Keamanan Informasi di Lingkungan Kementerian Keuangan
2. KMK Nomor 350/KMK.01/2010 tentang Kebijakan dan Standar Pengelolaan Data Elektronik di Lingkungan Kementerian Keuangan
3. PMK Nomor 97/PMK.1/2017 tentang Tata Kelola Teknologi Informasi dan Komunikasi di Lingkungan Kementerian Keuangan
4. Peraturan Direktur Jenderal Pajak Nomor PER-41/PJ/2010 tentang Kebijakan Pengelolaan Keamanan Informasi Direktorat Jenderal Pajak

Pada 2019, Direktur Jenderal Pajak melalui Direktur Teknologi Informasi dan Komunikasi telah memberikan arahan terkait implementesi sistem manajemen keamanan informasi di lingkungan Direktorat Jenderal Pajak. Langkah-langkah yang dianjurkan dalam pencegahan infeksi malware di lingkungan DJP adalah sebagai berikut:

1. Memastikan Sistem Operasi komputer telah ter-install update/patch terkini agar komputer memiliki konfigurasi keamanan terkini
2. Memastikan komputer dalam join domain sesuai dengan domain DJP agar memiliki konfigurasi yang sesuai dengan standar keamanan
3. Memastikan antivirus selalu ter-update untuk mencegah malware ter-install di komputer
4. Berhati-hati ketika mengeklik tautan situs web dalam surel dan/atau membuka tautan surel terutama ketika tautan dimaksud dalam bentuk terkompresi atau file ZIP. Pastikan bahwa pengirim email merupakan pengirim yang telah dikenal.
5. Berhati-hati ketika akan mengakses situs web terutama situs web-situs web tidak popular. Verifikasi situs web yang aman untuk diakses dapat dilakukan melalui beberapa situs, antara lain malwaredomainlist.com, malwareurl.com, openphish, dll
6. Seluruh pegawai diwajibkan menggunakan surel resmi DJP karena telah memiliki fitur pencegahan malware.

DJP tidak henti-hentinya mengimbau kepada seluruh pegawai untuk senantiasa mencari tahu isu-isu terkini terkait keamanan informasi seperti aturan atau kebijakan terbaru terkait langkah inisiatif keamanan informasi yang sedang dilakukan DJP, tip pengamanan data pada perangkat komputer, perangkat elektronik, maupun transaksi daring, serta berita terkini terkait insiden keamanan atau ancaman serangan siber yang harus diwaspadai.

Clean Desk Policy Sebagai Langkah Awal Keamanan Informasi

Salah satu langkah sederhana yang dapat dilakukan oleh seluruh pegawai adalah dengan menerapkan clean desk policy secara rutin dan berkelanjutan. Secara umum, clean desk policy dapat diartikan sebagai langkah pengamanan data dan informasi dengan menyimpan seluruh informasi yang bersifat sensitif dan rahasia dengan baik, tidak diperkenankan untuk membiarkan dokumen di atas meja kerja selepas pegawai pulang. Saat waktu istirahat atau makan siang, seluruh berkas maupun data dan informasi yang kritikal wajib disimpan dalam laci atau lemari yang terkunci dan tertutup rapat.

Wujud implementasi penerapan clean desk policy termuat dalam panduan program pelaksanaan Internalisasi Corporate Value (ICV) DJP. Program yang bertajuk Berkas Aman Kerja Nyaman difokuskan untuk memastikan keamanan informasi yang dimiliki DJP. Program ini diwujudkan dengan melakukan hal-hal sebagai berikut:

1. Memaksimalkan upaya penyimpanan berkas dalam bentuk softcopy dan hanya mencetak dokumen yang benar-benar diperlukan;
2. Menghancurkan dokumen yang telah dicetak dan tidak digunakan lagi;
3. Tidak menuliskan kata sandi komputer pada media apapun;
4. Memastikan laci selalu terkunci;
5. Memastikan komputer selalu dalam keadaan terkunci/mati ketika hendak ditinggal;
6. Memastikan meja kerja bersih dari segala macam berkas, dokumen, dan kertas sebelum pulang kerja.

Dengan rutin menerapkan kebiasaan clean desk policy, pegawai telah berperan secara aktif dalam kebijakan terkait keamanan informasi di lingkungan DJP. Diharapkan dengan peningkatan kepedulian pegawai, sistem keamanan yang dibentuk akan semakin solid dan dapat mencegah serangan siber yang mengancam.

*) Tulisan ini merupakan pendapat pribadi penulis dan bukan cerminan sikap instansi penulis bekerja.