Solusi yang memungkinkan Anda mengelola dan menjaga seluruh data dan informasi penting milik perusahaan dan pelanggan Anda dari kemungkinan dicuri orang lain.
Katakanlah perusahaan Anda menerbitkan kartu kredit. Bayangkan ketika ribuan nomor kartu kredit dicuri dari customer database milik perusahaan Anda. Awalnya, bisa saja Anda memperkirakan ini ulah hacker. Setelah sistem ditelusuri, eh ternyata itu ulah karyawan Anda yang belum lama ini dipecat dari perusahaan.
Lebih memalukan lagi, sang mantan karyawan memperoleh akses ke database perusahaan cukup dengan menggunakan user ID dan password lamanya – yang rupanya lalai tidak dihapus ketika ia diberhentikan.
Dalam waktu tak terlalu lama, perusahaan Anda pun mulai menuai getahnya. Ratusan, bahkan mungkin ribuan komplain dari customer mengalir ke perusahaan Anda. Dan mungkin dalam waktu tak terlalu lama pula, CEO Anda menuntut penjelasan mengapa departemen TI tidak sanggup menerapkan pengelolaan identitas atau identity management secara baik.
Namun masalah consumer fraud semacam ini bukanlah satu-satunya alasan mengapa pengelolaan akses karyawan terhadap informasi perusahaan ini diperlukan. Di AS misalnya, beberapa regulasi semacam HIPAA dan Sarbanes-Oxley mensyaratkan agar perusahaan mengotentikasi dan melacak seluruh karyawan yang memiliki akses terhadap data-data sensitif, seperti rekaman medis pasien dan dokumen keuangan. Secara tidak langsung, persyaratan semacam itu menuntut diperlukannya suatu sistem identity management.
Regulasi-regulasi semacam itu, menurut Roberta Witty, direktur riset Gartner, mendorong perusahaan-perusahaan di AS untuk mengetahui lebih banyak mengenai identity management. Bahkan menurutnya, saat ini banyak perusahaan begitu fokus dalam meningkatkan sistem identity management-nya sehingga belanja TI untuk bidang lainnya terpaksa ditunda.
Perkara jaga menjaga identitas ini sedikit banyak juga sudah memakan korban di kalangan perusahaan. Januari lalu misalnya, sebuah bank di Eropa, Bank of Scotland, kena denda 2,5 juta dolar gara-gara gagal menjaga catatan identifikasi customer dengan baik, sebagaimana disyaratkan regulasi UK Financial Services Authority.
Tapi, masalah regulasi tidaklah melulu menjadi alasan penerapan solusi ini. Menurut catatan Gartner, lebih dari tujuh juta warga AS menjadi korban berbagai bentuk pencurian identitas (identity theft) dalam kurun waktu 12 bulan sampai Juni 2003 lalu. Angka ini meningkat 79 persen dibandingkan hasil survei yang dilakukan Gartner sebelumnya pada Februari 2002. Masalah ini begitu menarik perhatian pemerintah AS, sehingga pada bulan Juli lalu, presiden Bush meneken undang-undang yang memperberat hukuman bagi para pencuri identitas, yang terbukti menggunakan nomor kartu kredit curian atau data pribadi lainnya.
Sayangnya, menerapkan identity management bukanlah perkara mudah, apalagi ketika perusahaan Anda mengoperasikan berbagai sistem dengan platform berbeda-beda. Saat ini, kurang lebih ada 100 vendor identity management yang menjajakan solusinya. Beberapa menawarkan aplikasi-aplikasi yang menjanjikan sanggup memenuhi seluruh kebutuhan Anda, dan beberapa lagi menawarkan solusi-solusi yang lebih spesifik. Dan karena komponen identity management itu banyak – ada single sign-on, self-service, authentication, access control dan automated provisioning – memilih mana yang harus diprioritaskan lebih dulu bukanlah perkara mudah.
Selain itu, masalah privasi dan resistansi karyawan juga bisa menjadi penghalang, khususnya ketika piranti otentikasi yang digunakan meliputi biometrik ataupun teknologi-teknologi lain yang dipandang “tak nyaman” digunakan oleh para pengguna.
Masalah lain yang mungkin tak kalah peliknya adalah bagaimana menggandeng seluruh departemen dalam perusahaan, yang masing-masing memiliki ego dan kepentingannya sendiri-sendiri, untuk duduk bersama dan mendiskusikan kebijakan dan prosedur dalam mengatur identity management ini.
Sekalipun sulit, toh manfaat yang bisa diperoleh tidak sedikit. Solusi semacam ini memberi kontrol lebih besar bagi perusahaan terhadap proses dan program, keamanan yang ketat terhadap informasi-informasi sensitif, dan pengelolaan karyawan yang lebih baik – apakah itu karyawan baru, yang dikeluarkan atau yang mendapat perubahan tugas. Di sisi lain, solusi ini juga membantu memangkas biaya help desk, penghematan yang lebih besar dan memberi lebih banyak waktu bagi karyawan untuk melakukan tugas-tugas yang lebih penting.
Strategi penerapan
Hasil yang cepat dapat memberi jaminan dukungan dari top management perusahaan, tapi bukan berarti mendapatkannya juga mudah. Pasalnya, solusi identity management tidak murah. Menurut Yankee Group, investasi penggelaran secara luas dalam sebuah perusahaan dengan lebih dari 10 ribu karyawan tak jarang melampaui angka 500.000 dolar AS dan memakan waktu 12 sampai 24 bulan. Ini suatu komitmen jangka panjang dan mahal, sehingga kalangan top management perlu menyadari apa yang bakal dijumpainya.
“Solusi ini tidak akan jalan tanpa sponsor dari manajemen senior,” ujar Earl Perkins, seorang analis dari META Group Inc. “Tanpa dukungan, hampir bisa dipastikan penggelarannya akan gagal.”
Untuk meyakinkan para pengambil keputusan agar mereka bisa memberi lampu hijau, ada beberapa hal yang sebenarnya bisa dikemukakan untuk menggambarkan manfaat solusi tersebut. Salah satunya adalah efisiensi operasional. Misalnya, salah satu fungsi identity management seperti automated password reset. Fungsi semacam ini penggelarannya mudah dan hasilnya langsung terasa berupa kemampuan end user untuk me-reset sendiri password-nya tanpa bantuan staff TI. Hal ini secara signifikan bisa memangkas biaya untuk menelepon help desk –biayanya bisa berkisar antara 15 sampai 50 dolar per panggilan – dan bisa menghemat jutaan dolar setiap tahunnya. “Pengeluaran yang bisa dihemat cukup signifikan, apalagi jika Anda mengalihdayakan help desk Anda,” ujar Witty.
Menurut Gartner, biaya untuk suatu sistem identity dan access management berkisar antara 5 sampai 25 dolar per pengguna, bergantung fitur yang terpasang. Perusahaan dengan 10 ribu karyawan yang mengotomatiskan proses pengawasan akses (automatic provisioning) untuk 12 jenis aplikasi bisa menghemat sekitar 3,5 juta dolar dalam kurun waktu 3 tahun, dan menikmati return on investment sekitar 295 persen. Sebagian besar penghematan ini diperoleh dari pemangkasan waktu yang dihabiskan untuk pengelolaan pengguna sampai 14.000 jam per tahun, dan memangkas help desk hour sampai 6.600 jam per tahun.
Mendapatkan lampu hijau dari top management bukan berarti masalahnya sudah selesai. Anda masih harus melakukan assessment terhadap aplikasi, platform maupun pengguna untuk melihat siapa memiliki akses terhadap apa. Proses ini biasanya melibatkan para key user atau manajer lini untuk mengetahui akses apa saja yang kini dimiliki karyawan, lalu akses apa yang seharusnya hanya mereka miliki.
Dari assessment akan terlihat berapa banyak akun “hantu” (milik karyawan yang dipecat atau pindah) yang bakal dihadapi, serta dimana password dan informasi lainnya tersimpan. Langkah ini dapat pula membantu Anda mengatasi masalah integrasi sistem.
“Sebagian besar perusahaan memiliki ratusan aplikasi yang berjalan di atas berbagai platform, dan di sinilah akar masalahnya berada,” ujar Phebe Waterfield, seorang analis Yankee Group. “Menyatukan aplikasi-aplikasi tersebut ke dalam suatu common framework merupakan kerja besar.”
Assessment semacam itu juga memperlihatkan titik-titik mana yang berpotensi menimbulkan kesulitan bagi perusahaan. Ini akan membantu Anda mengembangkan strategi untuk menentukan fitur-fitur identity management mana yang perlu diterapkan lebih dulu.
Jika perusahaan Anda lebih memperhatikan masalah regulatory compliance, mungkin Anda perlu melirik fitur automated provisioning. Salah satu elemen identity management ini pada dasarnya melacak “lifecycle” karyawan Anda, dan memungkinkan departemen TI secara otomatis men-set up pengguna baru, menghapus akun lama dan mengawasi alokasi sumberdaya seperti komputer, jalur telepon dan ruang kantor. Solusi ini juga memungkinkan departemen TI menyimpan catatan rinci mengenai siapa mengakses sistem, jaringan atau perangkat apa.
Tantangan
Selain waktu dan investasi, ada beberapa hal lain yang menjadi tantangan untuk menerapkan identity management. Menurut Waterfield, saat ini saja ada lebih dari 100 vendor piranti lunak identity management. Sejumlah vendor menawarkan solusi-solusi spesifik, namun ada juga vendor-vendor besar seperti IBM dan Computer Associates yang mengembangkan piranti lunak yang menangani seluruh bagian identity management.
Menentukan solusi piranti lunak yang dipilih bergantung pada ukuran dan kompleksitas perusahaan Anda, seberapa lama penggelarannya dan seberapa luas solusi yang digulirkan. Perusahaan Fortune 50 dengan 50.000 karyawan dan 12 divisi misalnya, mungkin lebih baik menggunakan paket piranti lunak dari satu vendor. Jika perusahaan Anda lebih banyak beroperasi di satu platform, mungkin akan lebih baik memilih paket solusi dari vendor yang sama. Pasalnya, pengintegrasian dari berbagai jenis platform tidak mudah.
“ Para vendor mengeluarkan solusi yang mungkin dijalankan diatas berbagai platform. Tapi, biasanya solusi paling baik beroperasi menggunakan platform buatan vendor itu sendiri,” tutur Perkins.
Menurut Witty, ada masalah lain yang juga penting diperhatikan, namun seringkali terlewatkan, yaitu pengelolaan identitas dan kontrol akses bagi pekerja paruh waktu atau pekerja dari pihak luar.
Selain itu, pertimbangan yang tak kalah penting sebelum menerapkan identity management adalah kebersihan dan konsolidasi data. “Yang perlu dilihat adalah seberapa bersih dan terstrukturnya infrastruktur otentikasi dan otorisasi Anda. Tentunya Anda tidak ingin menerapkan identity management di sebuah perusahaan yang punya 300 direktori dan database tempat penyimpanan identitas. Pelajari dulu seperti apa infrastrukturnya dan buatlah integritas data sebersih mungkin,” ujar Perkins.
Yang terakhir, bersiaplah menghadapi kemungkinan terjadinya pelambatan sistem dan aplikasi jika banyak orang melakukan log in pada waktu yang sama (misalnya di pagi hari ketika para karyawan melakukan log in untuk pertama kalinya) atau ketika seorang hacker melancarkan serangan DoS (denial of service).
Tren ke depan
Di tengah tren kolaborasi antar perusahaan, kemungkinan untuk saling mengakses informasi milik masing-masing perusahaan pun semakin besar. Untuk itu, pastikan bahwa piranti lunak yang Anda pasang dapat mendukung fitur federated identity management dan dapat terintegrasi dengan authentication tokens.
Banyak perusahaan yang akan mengeksplorasi kemungkinan penerapan federated identity – suatu sistem yang memberi seorang karyawan akses terhadap sistem milik perusahaan lain tanpa otorisasi ulang. Fitur ini amat berguna bagi perusahaan yang berkolaborasi dengan banyak pihak, atau memiliki rekanan alihdaya, yang membutuhkan akses data di dalam perusahaan.
Salah satu perusahaan yang tengah menimbang-nimbang fitur semacam ini adalah produsen mobil raksasa, General Motors Corp. Adalah John Jackson, direktur teknologi piranti lunak General Motors Corp. yang mengatakan bahwa pihaknya tengah mempertimbangkan federated identity untuk pengelolaan dana pensiun, laporan pengeluaran dan travel service yang dialihdayakannya. Untuk hal-hal yang lebih strategis, pabrikan mobil tersebut juga mempertimbangkan beberapa pilihan untuk secara aman menghubungkan para insinyurnya dengan pihak pemasok untuk mendorong kolaborasi – yang bisa mempercepat pengembangan mobil baru. Namun, tugas ini tidaklah mudah.
“Bagian tersulit adalah bekerjasama dengan mitra bisnis guna menentukan bagaimana mengatasi masalah otentikasi, session time-out dan co-logoff,” ujar Jackson . “Harus diperjelas, tingkat kepercayaan seperti apa yang akan diberikan.”
Selain itu, menurut Waterfield, tren yang juga akan berkembang adalah menggandengkan sistem identity management digital dengan sistem pengenalan identitas secara fisik. Misalnya, kartu akses untuk masuk kantor Anda juga menyediakan akses ke jaringan komputer perusahaan. aa
SIDE BAR
Elemen-elemen Identity Management
Access Control: otorisasi, kemampuan untuk mengelola akses di berbagai aplikasi dan platform.
Authentication: suatu proses dimana seseorang membuktikan jatidirinya sesuai apa yang diklaimnya. Otentikasinya bisa menggunakan smart card, biometrik atau digital signature.
Automatic Provisioning: Pemberian akses aplikasi dan sistem tertentu kepada karyawan, termasuk pembuatan user ID dan password. Bisa pula pengawasan akses terhadap perangkat fisik, seperti ponsel, komputer dan keycard.
Directory: Tempat penyimpanan user ID dan password. Memberi satu tempat agar perusahaan dapat melihat akses sistem di seluruh perusahaan.
Federated Identity Management: Pemberian akses sistem ke pihak di luar firewall perusahaan, misalnya pemasok dan rekanan outsourcing.
Single Sign-On and Self-Service: Kemampuan melakukan sign on cukup sekali, kemudian mengakses seluruh jaringan perusahaan tanpa perlu melakukan otentikasi ulang. Juga kemampuan me-reset password tanpa bantuan help desk TI.
Sumber : Majalah Ebizz Asia Monday, 01 November 2004
Tidak ada komentar:
Posting Komentar