Membangun Keamanan Infrastruktur Remote Work dalam 72 Jam

🇬🇧 Read this article in English

TL;DR: Sebagian besar organisasi hanya memiliki waktu beberapa hari — bukan bulan — untuk memindahkan seluruh tenaga kerjanya menjadi remote. Selama tiga minggu terakhir, saya telah membantu klien membangun lingkungan remote yang aman di bawah tekanan waktu yang ekstrem. Artikel ini memaparkan kerangka kerja 72 jam untuk membangun keamanan infrastruktur remote work yang melindungi bisnis tanpa melumpuhkannya, beserta kesalahan-kesalahan yang saya lihat terus berulang di berbagai industri saat ini.

Tiga minggu lalu, seorang klien di sektor manufaktur menghubungi saya pada Kamis malam. Pemerintah daerah mereka baru saja mengumumkan kebijakan pembatasan sosial (seperti PSBB/PPKM) yang berlaku mulai Senin. Mereka memiliki 400 karyawan kantoran, VPN yang hanya mampu menangani 50 koneksi bersamaan, dan tidak ada kebijakan penggunaan perangkat pribadi. Mereka butuh rencana pada Jumat pagi. Ini bukan skenario hipotetis dari buku teks kelangsungan bisnis (business continuity). Ini adalah realitas di hari Selasa pada April 2020. Dan keamanan infrastruktur remote work telah berubah dari sekadar wacana di peta jalan TI tahun depan menjadi prioritas paling mendesak di perusahaan.

Apa yang saya jabarkan berikut ini adalah kerangka kerja yang saya gunakan — yang telah disempurnakan melalui beberapa implementasi cepat selama beberapa minggu terakhir — untuk membantu organisasi membangun lingkungan kerja remote yang aman dalam waktu sekitar 72 jam. Ini tidak sempurna. Kesempurnaan adalah kemewahan yang tidak kita miliki saat ini. Namun, kerangka ini terstruktur, dapat dipertanggungjawabkan, dan dirancang untuk menjaga bisnis tetap berjalan tanpa membiarkan pintu depan terbuka lebar bagi ancaman.

Realitas Implementasi 72 Jam

Mari kita samakan ekspektasi dengan jelas. Waktu 72 jam tidak akan menghasilkan arsitektur kerja remote jangka panjang yang dipoles sempurna. Apa yang dihasilkannya adalah fondasi yang cukup aman agar Anda dapat beroperasi sementara Anda membangun sesuatu yang lebih permanen dalam beberapa minggu dan bulan ke depan.

Perbedaan ini penting. Saya melihat banyak pemimpin TI terdiam karena mereka tidak bisa merancang solusi ideal di bawah tekanan waktu. Sementara itu, karyawan mereka mengakses sistem perusahaan dari jaringan Wi-Fi rumah yang berbagi bandwidth dengan remaja yang sedang streaming video dan kulkas pintar dengan firmware dari tahun 2016. Selesai dengan cukup baik dan cepat jauh lebih baik daripada mengejar kesempurnaan namun tidak pernah selesai.

Saya membagi 72 jam tersebut ke dalam tiga fase:

• Fase 1 (Jam 0–12): Triase dan inventarisasi
• Fase 2 (Jam 12–36): Akses aman dan identitas
• Fase 3 (Jam 36–72): Aktifkan, pantau, dan komunikasikan

Fase 1: Triase dan Inventarisasi (Jam 0–12)

Anda tidak bisa mengamankan apa yang tidak bisa Anda lihat. Dua belas jam pertama adalah tentang mendapatkan gambaran jujur mengenai kondisi Anda saat ini — bukan kondisi yang tertulis di laporan audit terakhir Anda, melainkan kondisi aktual saat ini.

Petakan Sistem Kritis Anda

Mulailah dengan mengidentifikasi sepuluh hingga lima belas aplikasi dan sistem yang mutlak harus dapat diakses agar bisnis tetap berjalan. Bukan seluruh portofolio aplikasi. Hanya yang esensial: ERP, email, CRM, penyimpanan data (file storage), alat komunikasi, dan aplikasi lini bisnis (line-of-business) apa pun yang menjadi tumpuan pendapatan Anda. Untuk klien manufaktur saya, itu adalah sistem ERP mereka (SAP), email (Exchange on-premises), aplikasi manajemen pesanan kustom, dan network drive bersama.

Untuk setiap sistem kritis, jawab tiga pertanyaan ini:

1. Apakah sistem ini berbasis cloud, on-premises, atau hybrid?
2. Bisakah sistem ini diakses secara aman dari luar jaringan perusahaan saat ini?
3. Apa metode autentikasi yang digunakan saat ini?

Latihan ini biasanya memakan waktu dua hingga empat jam dengan orang-orang yang tepat di dalam ruangan. Ini juga akan mengungkap kenyataan pahit — sistem yang Anda anggap siap untuk cloud ternyata tidak, aplikasi dengan pembatasan IP yang di-hardcode, atau database yang belum pernah diakses dari luar LAN.

Inventarisasi Endpoint Anda

Berapa banyak laptop yang dikelola perusahaan yang telah Anda distribusikan? Berapa banyak karyawan yang akan bekerja dari perangkat pribadi? Rasio ini menentukan seluruh postur keamanan Anda untuk 72 jam ke depan.

Jika Anda beruntung memiliki armada perangkat yang dikelola dengan solusi MDM (Mobile Device Management) yang sudah berjalan, jalan Anda akan jauh lebih mudah. Jika — seperti banyak perusahaan yang saya ajak bicara — Anda memiliki campuran antara laptop yang dikelola, PC desktop yang tidak dikelola, dan karyawan yang bertanya apakah mereka bisa menggunakan iPad mereka, Anda memerlukan strategi akses bertingkat. Saya akan membahas hal tersebut di Fase 2.

Fase 2: Mengamankan Keamanan Infrastruktur Remote Work (Jam 12–36)

Ini adalah inti dari pekerjaan tersebut. Anda sudah memiliki inventarisnya. Sekarang Anda perlu memungkinkan akses tanpa membuatnya menjadi ceroboh.

Kapasitas VPN dan Alternatifnya

VPN tradisional adalah hal pertama yang akan tumbang saat digunakan dalam skala besar. Sebagian besar VPN concentrator perusahaan dirancang untuk menangani 10–20% tenaga kerja yang terhubung secara bersamaan. Sekarang kita meminta perangkat tersebut menangani 80–100%. Secara matematis, ini tidak akan berhasil.

Opsi langsung yang bisa diambil:

• Tingkatkan skala VPN Anda saat ini. Hubungi vendor Anda mengenai perluasan lisensi darurat. Cisco, Palo Alto, dan Fortinet semuanya telah mengumumkan perpanjangan lisensi gratis sementara dalam dua minggu terakhir. Jika perangkat keras Anda mampu menangani throughput tersebut, ini adalah jalur tercepat.
• Split tunneling. Ini adalah kompromi yang diperhitungkan. Dengan hanya merutekan lalu lintas perusahaan melalui VPN dan membiarkan lalu lintas internet umum langsung keluar, Anda secara dramatis mengurangi beban VPN. Ya, ini meningkatkan risiko. Namun, VPN yang crash karena beban berlebih tidak melindungi apa pun. Konfigurasikan split tunneling dengan kontrol DNS yang ketat dan perlindungan endpoint sebagai kontrol kompensasi.
• Akses berbasis cloud. Untuk aplikasi SaaS, karyawan seharusnya tidak merutekan lalu lintas melalui VPN Anda sama sekali. Pastikan akses langsung ke cloud diamankan dengan kontrol identitas yang tepat (lihat di bawah). Setiap sesi SaaS yang Anda keluarkan dari terowongan VPN adalah kapasitas yang berhasil dipulihkan.

Identitas adalah Perimeter Baru

Ini bukan konsep baru, tetapi penerapannya tidak pernah seharfiah bulan ini. Ketika karyawan Anda tersebar di ratusan jaringan rumah, perimeter jaringan perusahaan menjadi tidak bermakna. Identitas — secara spesifik, identitas yang terverifikasi dan multi-faktor — menjadi kontrol keamanan utama Anda.

Multi-factor authentication (MFA) tidak bisa ditawar. Jika Anda hanya melakukan satu hal dari artikel ini, lakukanlah ini: aktifkan MFA pada setiap sistem yang dapat diakses dari luar dalam 24 jam ke depan. Microsoft melaporkan peningkatan serangan siber sebesar 300% yang menargetkan pekerja remote pada dua minggu pertama bulan Maret [Sumber: Microsoft Security Blog, Maret 2020]. Sebagian besar serangan ini mengeksploitasi kredensial yang dicuri atau lemah. MFA menghentikan mayoritas dari serangan tersebut.

Bagi organisasi yang sudah menggunakan Azure AD atau Okta, mengaktifkan MFA secara menyeluruh dapat dilakukan dalam hitungan jam. Bagi mereka yang tidak memiliki penyedia identitas terpusat, ini lebih sulit namun tetap krusial. Minimal, aktifkan MFA pada email, akses VPN, dan sistem apa pun yang menyentuh data keuangan.

Akses Bertingkat Berdasarkan Kepercayaan Perangkat

Tidak semua perangkat diciptakan sama, dan kebijakan akses Anda harus mencerminkan hal itu. Berikut adalah model bertingkat yang biasa saya terapkan:

Tier	Tipe Perangkat	Tingkat Akses	Kontrol yang Diperlukan
Tier 1	Dikelola perusahaan, terdaftar MDM	Akses penuh ke semua sistem kritis	MFA, perlindungan endpoint, enkripsi disk, VPN
Tier 2	Perangkat pribadi, memenuhi standar minimum	Akses ke email, alat kolaborasi, aplikasi SaaS tertentu	MFA, OS yang diperbarui, antivirus terverifikasi, akses hanya berbasis browser
Tier 3	Perangkat tidak dikenal atau tidak patuh (non-compliant)	Hanya email dan alat komunikasi (berbasis web)	MFA, tidak ada penyimpanan data lokal, batas waktu sesi (session timeouts)

Ini tidak ideal. Di dunia yang sempurna, setiap karyawan memiliki perangkat yang dikelola perusahaan dengan endpoint detection and response (EDR) penuh. Kita tidak hidup di dunia tersebut minggu ini. Model bertingkat memungkinkan Anda menjaga bisnis tetap berjalan sambil menekan risiko ke tingkat yang dapat diterima.

Fase 3: Aktifkan, Pantau, dan Komunikasikan (Jam 36–72)

Pada jam ke-36, Anda seharusnya sudah menetapkan jalur akses aman untuk sistem kritis Anda. Fase terakhir adalah tentang membuatnya berfungsi bagi manusia yang menggunakannya dan memastikan Anda dapat melihat apa yang sedang terjadi.

Pemantauan dan Visibilitas

Kerja remote secara dramatis memperluas permukaan serangan (attack surface) Anda. Anda harus mengawasi anomali sejak hari pertama. Minimal, konfigurasikan peringatan untuk:

• Percobaan login dari lokasi geografis yang tidak biasa
• Percobaan autentikasi gagal yang berulang kali
• Transfer atau unduhan data dalam jumlah besar di luar jam kerja
• Pendaftaran perangkat baru
• Peristiwa eskalasi hak istimewa (privilege escalation)

Jika Anda sudah memiliki SIEM, perbarui aturan deteksi Anda untuk memperhitungkan kondisi normal yang baru — karyawan yang login dari rentang IP perumahan sekarang adalah hal yang wajar, tetapi karyawan yang login dari dua negara berbeda dalam waktu satu jam tentu tidak wajar. Sesuaikan baseline Anda, atau Anda akan tenggelam dalam false positive.

Komunikasi dan Pelatihan Karyawan

Arsitektur keamanan terbaik di dunia akan gagal jika karyawan Anda tidak memahaminya. Dalam 36 jam terakhir implementasi Anda, distribusikan panduan yang jelas dan ringkas kepada setiap pekerja remote. Bukan dokumen kebijakan keamanan setebal 40 halaman. Cukup satu halaman yang mencakup:

1. Cara terhubung ke sistem perusahaan (langkah demi langkah, dengan tangkapan layar)
2. Apa itu MFA dan cara mengaturnya
3. Apa yang harus dilakukan jika mereka mencurigai adanya email phishing (volume kampanye phishing sangat mengejutkan saat ini)
4. Siapa yang harus dihubungi jika terjadi masalah

Saya membantu satu klien memproduksi video panduan berdurasi dua menit untuk karyawan mereka. Tiket dukungan TI (support tickets) turun 60% dibandingkan saat mereka hanya mengirimkan instruksi berbasis teks. Ketika orang-orang merasa stres dan bekerja dari lingkungan yang asing, kesederhanaan adalah bentuk kontrol keamanan.

Kesalahan yang Saya Lihat Terus Berulang Saat Ini

Di berbagai organisasi yang saya ajak bicara dalam tiga minggu terakhir, pola-pola tertentu terus bermunculan:

Menonaktifkan kontrol keamanan untuk mengurangi hambatan. Saya mengerti dorongannya. CEO menelepon karena mereka tidak bisa mengakses sistem. Godaan untuk mematikan MFA atau membuka port firewall “sementara” sangatlah besar. Jangan lakukan itu. Setiap pengecualian sementara yang pernah saya lihat sepanjang karier saya pada akhirnya menjadi permanen. Cari cara lain.

Mengabaikan risiko perangkat pribadi. Berpura-pura bahwa perangkat pribadi tidak mengakses data perusahaan tidak membuat hal itu menjadi tidak nyata. Akui kenyataan tersebut dan terapkan model akses bertingkat. Anda tidak bisa mengelola apa yang Anda tolak untuk lihat.

Melupakan pencegahan kehilangan data (Data Loss Prevention/DLP). Ketika karyawan bekerja dari rumah, data perusahaan bermigrasi ke drive lokal, penyimpanan cloud pribadi, flash disk USB, dan lampiran email. Minimal, batasi kemampuan untuk mengunduh data dalam jumlah besar dari sistem kritis pada perangkat Tier 2 dan Tier 3. Aktifkan kebijakan DLP di platform email dan penyimpanan cloud Anda.

Tidak ada rencana setelah minggu pertama. Implementasi 72 jam adalah triase. Ini bukan strategi. Jika Anda tidak memiliki rencana 30-60-90 hari untuk memperkuat, mengoptimalkan, dan memformalkan infrastruktur remote Anda, utang teknis (technical debt) akan menumpuk dengan cepat. Saya akan menulis tentang proses perencanaan jangka panjang tersebut di artikel mendatang.

Pertanyaan yang Sering Diajukan (FAQ)

Berapa perkiraan biaya yang harus dikeluarkan untuk implementasi remote work darurat?

Ini sangat bervariasi berdasarkan titik awal Anda, tetapi sebagian besar organisasi menengah yang bekerja sama dengan saya dalam beberapa minggu terakhir telah menghabiskan antara $15.000 hingga $75.000 (sekitar Rp230 juta hingga Rp1,1 miliar) untuk lisensi darurat, ekspansi kapasitas VPN, dan tambahan langganan cloud. Perusahaan yang sudah berinvestasi dalam suite produktivitas berbasis cloud (Microsoft 365, Google Workspace) menghabiskan biaya yang jauh lebih sedikit. Biaya sebenarnya bukanlah pada implementasi awal — melainkan beban operasional berkelanjutan untuk mendukung tenaga kerja yang terdistribusi, yang biasanya berjalan 15–25% lebih tinggi daripada operasi TI terpusat [Sumber: Gartner, preliminary COVID-19 IT spending analysis].

Apakah aman mengizinkan karyawan menggunakan perangkat pribadi untuk bekerja?

Aman adalah sebuah spektrum, bukan biner. Mengizinkan perangkat pribadi tanpa kontrol adalah tindakan ceroboh. Melarangnya sepenuhnya ketika Anda tidak memiliki cukup perangkat keras perusahaan untuk dibagikan berarti orang-orang tidak bisa bekerja. Model akses bertingkat yang dijelaskan di atas adalah jalan tengah yang pragmatis: batasi apa yang dapat diakses oleh perangkat pribadi, wajibkan MFA, haruskan sesi berbasis browser jika memungkinkan untuk menjaga data tidak tersimpan secara lokal, dan wajibkan standar minimum seperti patch OS terbaru dan antivirus yang aktif. Ini adalah risiko yang dikelola, bukan dihilangkan.

Haruskah kita menggunakan model zero-trust untuk akses remote?

Zero trust adalah arah arsitektur jangka panjang yang tepat, dan krisis ini mempercepat adopsinya. Namun, menerapkan kerangka kerja zero-trust secara penuh dalam 72 jam tidaklah realistis bagi sebagian besar organisasi. Apa yang bisa Anda lakukan segera adalah menerapkan prinsip-prinsip zero-trust: verifikasi identitas secara eksplisit dengan MFA, berikan akses hak istimewa paling rendah (least-privilege), dan asumsikan bahwa jaringan telah disusupi. Bangun model akses bertingkat Anda di sekitar prinsip-prinsip ini sekarang, dan rencanakan arsitektur zero-trust yang lebih komprehensif selama 90 hari ke depan begitu krisis di depan mata mulai stabil.

Apa ancaman keamanan siber terbesar bagi pekerja remote saat ini?

Phishing adalah vektor ancaman dominan, dan selisihnya sangat jauh dibandingkan ancaman lain. Penyerang mengeksploitasi kecemasan krisis dengan email yang menyamar sebagai WHO, kementerian kesehatan, dan departemen SDM internal. Google melaporkan memblokir 18 juta email phishing terkait COVID-19 per hari pada minggu kedua bulan April [Sumber: Google Threat Analysis Group]. Selain phishing, kita melihat peningkatan penargetan kerentanan VPN (terutama perangkat Pulse Secure dan Fortinet yang belum di-patch), serangan credential stuffing terhadap portal akses remote yang baru diekspos, dan peningkatan skema business email compromise (BEC) yang menargetkan tim keuangan yang kini bekerja tanpa proses verifikasi tatap muka seperti biasanya.

Melihat ke Depan

Inilah yang saya yakini, dan saya akan mengatakannya secara lugas: sebagian besar infrastruktur remote work yang sedang dibangun saat ini tidak akan pernah dinonaktifkan sepenuhnya. Bahkan setelah krisis kesehatan di depan mata berlalu, keekonomian dan ekspektasi karyawan seputar kerja remote telah bergeser secara permanen. Organisasi yang menganggap hal ini sebagai ketidaknyamanan sementara akan kembali membangun sistem rapuh yang sama seperti yang mereka miliki sebelumnya. Mereka yang menganggapnya sebagai awal dari perubahan struktural akan membangun sesuatu yang tahan lama.

Kerangka kerja 72 jam akan membawa Anda melewati krisis. Yang lebih penting adalah apa yang Anda lakukan di minggu-minggu berikutnya — memperkuat kontrol akses, memformalkan kebijakan BYOD, berinvestasi dalam deteksi endpoint, dan merancang ulang arsitektur jaringan Anda untuk tenaga kerja yang mungkin tidak akan pernah terpusat sepenuhnya lagi. Keamanan infrastruktur remote work bukan lagi sekadar bagian kecil dari strategi TI Anda. Bagi banyak organisasi, hal tersebut adalah strategi TI itu sendiri.

Mulailah dengan triase. Namun buatlah rencana untuk jangka panjang.