Tokopedia Beber Serba-Serbi Seputar Cloud Security

Technologue.id, Jakarta - Sebagai platform yang digunakan oleh lebih dari 100 juta pengguna aktif setiap bulannya, Tokopedia selalu berupaya untuk menjaga keamanan data di dalam ekosistemnya. Untuk memastikan bahwa penggunaan aplikasi yang terdapat dalam sistem berjalan dengan aman, serta untuk menghindari resiko-resiko yang dapat muncul, Tokopedia menggunakan sistem keamanan dengan tingkat yang lebih tinggi.

Pada bulan Januari lalu, Tokopedia melalui Tokopedia Academy kembali mengadakan acara START Summit Extension dengan membawa topik-topik menarik seputar dunia teknologi. Kali ini, acara yang diadakan setiap bulannya tersebut menghadirkan topik Enterprise Cloud Security.

Saat ini, Cloud Security atau keamanan komputisasi awan sudah digunakan oleh banyak perusahaan, salah satunya Tokopedia. Cloud Security merupakan sistem yang dibuat untuk meningkatkan keamanan dari sebuah data, aplikasi, maupun infrastruktur teknologi dan komputasi lainnya. Namun, penggunaan Cloud Security tergolong cukup kompleks dalam proses implementasinya.

START Summit Extension edisi Januari 2022 mencoba berbagi cerita serta wawasan tentang bagaimana penerapan sistem Cloud Security di sebuah perusahaan seperti Tokopedia dengan mengundang Wahyu Nuryanto, IT Security Senior Lead Tokopedia, dan Fauzanil Zaki, Senior Software Engineer Security Tokopedia sebagai pembicara. Tak hanya itu, acara kali ini turut dihadiri oleh Lily Wongso selaku SVP Enterprise Security BCA yang juga berbagi pengalamannya di bidang IT Security.

Pada sesi pertama, Wahyu Nuryanto, IT Security Senior Lead Tokopedia mencoba untuk menjelaskan dasar-dasar dari Cloud Security, seperti pentingnya Cloud Security untuk digunakan di perusahaan yang berskala besar. Cloud Security diperlukan untuk menjaga data dan aplikasi dari ancaman siber yang mungkin bisa datang dari eksternal maupun internal.

Selain itu, dijelaskan lebih lanjut bahwa Cloud Security juga memiliki serangkaian kebijakan, kontrol, prosedur, hingga teknologi penunjang yang tergabung dan saling bekerja sama untuk melindungi seluruh data dan infrastruktur di suatu perusahaan. Sebelum memutuskan untuk menggunakan Cloud Security, Wahyu juga menjelaskan bahwa terdapat beberapa hal yang perlu dipertimbangkan seperti security, compliance dari masing-masing perusahaan, serta regulasi pemerintah.

Sesi berikutnya dibawakan oleh Fauzanil Zaki. Ia menjelaskan lebih dalam tentang prinsip-prinsip desain keamanan yang digunakan untuk menjaga environment cloud yg dimiliki. Jika merujuk pada AWS–Well Architected Framework yang berisi konsep-konsep utama dalam menjalankan Cloud Security, kerangka ini terdiri dari 5 pilar, dimana salah satu pilarnya adalah Security Pillar.

Terdapat 7 prinsip desain dalam Security Pillar. Pertama, perlu diterapkannya pondasi identitas yang kuat. Ketika mengimplementasikan cloud baru, identitas adalah hal dasar yg harus diimplementasikan dengan benar. Selanjutnya, penting untuk mengaktifkan pelacakan yang berfungsi untuk memantau tindakan dan perubahan pada environment cloud secara real-time. Ketiga, penerapan keamanan juga harus dilakukan di setiap lapisan seperti VPC, sistem operasi, dan aplikasi.

Prinsip desain yang selanjutnya adalah melakukan otomatisasi praktik terbaik pada jaringan keamanan. Dengan menggunakan keamanan berbasis perangkat lunak otomatis, hal ini dapat meningkatkan kemampuan tim IT untuk mengeskalasi isu dengan lebih cepat. Yang tak kalah pentingnya adalah pilar kelima, Protect Data in Transit and at Rest. Kita perlu mengklasifikasikan data ke dalam tingkatan dengan menggunakan mekanisme kompleks seperti enkripsi dan kontrol akses.

Keenam, jauhkan data dari banyak orang guna mengurangi risiko kesalahan penanganan atau modifikasi, serta meminimalisir human error saat menangani data sensitif. Terakhir, siapkan keamanan untuk berbagai kemungkinan yang akan datang. Hal ini berguna untuk mempersiapkan insiden yang mungkin saja akan terjadi. Dengan manajemen insiden, kebijakan, serta proses investigasi yang selaras dengan kebijakan perusahaan, insiden dapat terdeteksi dengan cepat sehingga pemulihannya tidak akan memakan waktu yang lama.

Contact Information