Sebagian besar pembobolan data bukan hasil serangan canggih yang dipimpin hacker berpengalaman. Kebanyakan terjadi karena hal-hal mendasar yang diabaikan: password yang lemah, akun lama yang masih aktif, atau backup yang tidak pernah diuji.
Untuk bisnis yang beroperasi secara digital — menyimpan data pelanggan, memproses pembayaran, atau menjalankan sistem yang terhubung ke internet — keamanan bukan pilihan. Ini bagian dari operasi bisnis yang bertanggung jawab.
HTTPS di Website Anda
Ini yang paling dasar dan masih sering tidak ada. Jika URL website Anda dimulai dengan http:// (bukan https://), semua data yang dikirimkan melalui website — termasuk isi formulir kontak — tidak terenkripsi dan bisa dicegat.
Browser modern sudah secara aktif memperingatkan pengguna ketika mengunjungi website tanpa HTTPS. Selain risiko keamanan, ini juga berdampak negatif pada kepercayaan pengunjung dan ranking Google.
HTTPS membutuhkan sertifikat SSL. Sebagian besar hosting modern menyediakan ini gratis via Let's Encrypt. Jika hosting Anda belum mengaktifkannya, ini yang perlu ditanyakan ke penyedia hosting Anda hari ini.
Password yang Tidak Bisa Ditebak
Password "admin123", nama perusahaan, atau tanggal lahir pemilik adalah password yang hampir tidak ada artinya sebagai perlindungan.
Kriteria password yang masuk akal:
- Minimal 12 karakter
- Kombinasi huruf besar, huruf kecil, angka, dan simbol
- Berbeda untuk setiap akun — menggunakan password yang sama di mana-mana berarti jika satu akun bocor, semuanya berisiko
Ini terdengar sulit diingat — dan memang. Solusinya bukan mencatat di kertas atau di notes smartphone. Gunakan password manager: aplikasi yang menyimpan dan menghasilkan password acak untuk setiap akun Anda. Bitwarden tersedia gratis, 1Password berbayar tapi sering direkomendasikan untuk tim bisnis. Anda hanya perlu ingat satu master password — yang lain dikelola aplikasi.
Two-Factor Authentication (2FA)
2FA berarti setelah memasukkan password, sistem meminta satu lapisan verifikasi lagi — biasanya kode yang dikirim ke nomor telepon atau yang dihasilkan oleh aplikasi autentikator.
Aktifkan 2FA di setidaknya:
- Email bisnis utama Anda (Gmail, Outlook, atau email domain sendiri)
- Akun cloud yang menyimpan data bisnis (Google Drive, Dropbox)
- Panel admin website atau server hosting
- Akun payment gateway atau perbankan digital
Bahkan jika password Anda bocor, 2FA mencegah orang lain masuk ke akun tersebut tanpa akses ke perangkat kedua Anda.
Backup yang Benar-Benar Bisa Digunakan
"Kami sudah backup" sering berarti ada file backup yang tersimpan di suatu tempat — tapi tidak pernah diuji apakah backup itu bisa dipulihkan.
Backup yang tidak diuji sama artinya dengan tidak punya backup sama sekali.
Prinsip backup yang solid: aturan 3-2-1. Simpan tiga salinan data, di dua media berbeda, dengan satu salinan di lokasi yang berbeda (offsite atau cloud). Untuk memahami lebih lanjut bagaimana infrastruktur cloud bisa membantu menjaga keandalan dan keamanan data bisnis Anda, baca artikel tentang cloud computing untuk bisnis Indonesia. Untuk bisnis kecil, ini bisa berarti: database di server, backup otomatis ke cloud storage (Google Drive atau Amazon S3), dan backup manual bulanan ke hard drive eksternal yang disimpan di lokasi berbeda dari kantor.
Yang lebih penting: secara periodik lakukan restore dari backup. Pastikan filenya bisa dibuka dan datanya lengkap. Ini tidak perlu setiap hari — tapi setidaknya sekali setiap tiga bulan.
Kontrol Akses: Tidak Semua Orang Perlu Akses Admin
Prinsip least privilege: setiap orang hanya memiliki akses ke sistem dan data yang mereka butuhkan untuk pekerjaannya — tidak lebih.
Ini penting karena dua alasan: pertama, mengurangi dampak jika akun seseorang dikompromikan. Kedua, mengurangi risiko kesalahan yang tidak disengaja — seseorang yang tidak perlu mengakses data pelanggan tidak bisa secara tidak sengaja menghapus atau mengekspornya.
Praktisnya:
- Buat akun terpisah untuk setiap anggota tim — jangan pakai satu akun admin bersama
- Tetapkan level akses sesuai peran: staff CS tidak perlu akses ke konfigurasi server
- Ketika karyawan resign, nonaktifkan akun mereka di semua sistem pada hari yang sama — jangan tunda
Apabila Ada Indikasi Pelanggaran
Tanda-tanda yang perlu diwaspadai: ada login dari lokasi atau waktu yang tidak biasa, email yang dikirim dari akun Anda tapi bukan oleh Anda, atau data yang berubah tanpa ada yang melakukannya.
Jika curiga ada yang salah:
- Segera ganti password akun yang terdampak
- Periksa dan cabut semua sesi aktif yang tidak dikenal
- Cek log aktivitas jika platform menyediakan (Google Workspace, misalnya, punya audit log yang detail)
- Hubungi penyedia layanan jika perlu — email provider, payment gateway, atau hosting — untuk melaporkan insiden dan minta bantuan investigasi
- Jika ada data pelanggan yang terdampak, pertimbangkan notifikasi ke pelanggan — ini juga mulai menjadi kewajiban hukum
UU PDP dan Kewajiban Bisnis
Indonesia sudah memiliki Undang-Undang Perlindungan Data Pribadi (UU PDP) yang mulai berlaku. Ini bukan hanya soal hukum — ini soal kepercayaan.
Intinya: bisnis yang mengumpulkan dan menyimpan data pribadi pelanggan (nama, email, nomor telepon, data transaksi) wajib melindungi data tersebut dan bertanggung jawab jika terjadi kebocoran.
Langkah-langkah dasar yang dijelaskan di artikel ini juga merupakan bagian dari praktik kepatuhan yang baik. Bukan hanya untuk menghindari sanksi hukum, tapi karena pelanggan Anda mempercayakan data mereka kepada Anda.
CERIS membantu bisnis Indonesia membangun sistem digital dengan praktik keamanan yang proper — dari arsitektur backend hingga manajemen akses. Lihat layanan web development kami atau hubungi kami untuk konsultasi.
