Keamanan Data Sistem Akademik Tidak Bisa Ditawar, Ini Kewajiban

SEVIMA.COM- Ada pola yang hampir selalu muncul dalam evaluasi  sistem akademik di perguruan tinggi bahwa harga menjadi hal yang pertama dibahas pertama. Lalu yang lain menjadi “pendukung” menyusu dibicarakan seperti fitur dan keunggulan, hingga timeline implementasi. Sering kali keamanan data jika sempat dibahas biasanya berada di urutan terakhir.

Pola ini konsisten kami temui selama mendampingi 1200+ perguruan tinggi di berbagai level mulai dari pimpinan yang menandatangani kontrak, kepala biro IT yang mengevaluasi spesifikasi, hingga panitia pengadaan yang menyusun kriteria seleksi.

Keamanan data kerap dianggap isu yang kompleks dan tidak se-urgent harga. Padahal, konteks industrinya sudah berubah. Survei Sophos State of Ransomware in Education (2022) yang melibatkan lebih dari 400 profesional IT perguruan tinggi di berbagai negara, mencatat 64% institusi mengalami serangan ransomware dalam 12 bulan terakhir, naik dari 44% di tahun sebelumnya. Angka ini bukan dipakai untuk menakuti. Ini konteks dasar industri yang sedang dihadapi setiap institusi pendidikan tinggi, termasuk di Indonesia.

Ketika terserang masalah bocornya data keamanan data setelah ada insiden, saat biaya recovery sudah berlipat ganda dari biaya prevention.

Pertanyaan dasarnya kenapa institusi yang menyimpan ribuan data mahasiswa, ratusan data dosen, dan dekade arsip akademik, mengevaluasi sistem yang memegang semua itu dengan urutan yang sama seperti membeli printer kantor?

Tiga Alasan Keamanan Data Selalu Dibahas Terakhir

Di beberapa kasus, keamanan data menjadi hal terakhir yang selalu dibahas. Beberapa mitra sistem akademik sering kali tidak menjelaskan jika ditanya. Ini menjadi langkah kritis Bapak/Ibu di perguruan tinggi dalam mempertanyakan keamanan data.

1. Keamanan data terlihat abstrak. 

Harga konkret. Fitur konkret. “Mahasiswa bisa input KRS mandiri” konkret. “Sistem aman” tidak konkret. Sesuatu yang abstrak selalu kalah prioritas dibanding yang konkret, sampai ada insiden yang membuatnya konkret dengan cara yang paling mahal.

2. Sering disebut sebagai urusan teknis. 

Pimpinan kampus merasa ini bukan ranah mereka. Itu pekerjaan Kabiro IT atau bahkan mitra sendiri. Padahal keputusan tentang siapa yang memegang data institusi adalah keputusan strategis, bukan teknis. Kabiro IT bisa mengevaluasi arsitektur. Hanya Rektor dan Wakil Rektor yang bisa mengevaluasi konsekuensi institusional dari arsitektur itu.

3. Mitra merasa tidak “ditanya”

Kalau evaluasi keamanan data tidak masuk dalam proses pengadaan, mitra tidak punya insentif menjadikannya nilai jual. Yang dijual adalah yang ditanyakan. Selama yang ditanyakan adalah harga dan fitur, itu yang akan dijual. Pasar mengikuti pertanyaan pembeli. Kalau pertanyaan pembeli berubah, jawaban pasar juga berubah.

Baca juga: SEVIMA Security Model: Berkomitmen Melindungi Data Institusi Pendidikan Tinggi

Taruhan Keamanan Data Tidak Hanya Bicara Soal Data Bocor

Saat sistem akademik bermasalah, yang berhenti bukan hanya server. Yang berhenti adalah operasional institusi. Mahasiswa tidak bisa KRS, dosen tidak bisa input nilai dan pelaporan PDDikti macet. Taruhannya Akreditasi terancam dan reputasi institusi yang dibangun selama puluhan tahun bisa rusak dalam satu siklus berita.

Biaya recovery dari insiden bukan hanya biaya teknis. Ada biaya hukum, biaya komunikasi krisis, biaya kehilangan kepercayaan calon mahasiswa di gelombang PMB berikutnya, dan biaya pemulihan hubungan dengan regulator. Sebagian biaya ini tidak pernah pulih sepenuhnya.

Ada juga biaya yang lebih sulit dihitung tapi sama nyatanya. Saat insiden terjadi, perhatian Rektor dan jajaran pimpinan tersedot ke manajemen krisis selama berminggu-minggu. Rapat strategis tentang akademik, riset, dan pengembangan kampus tertunda. Inisiatif yang sedang berjalan kehilangan momentum. 

Kampus yang seharusnya bergerak ke depan terpaksa berhenti dan menengok ke belakang. Biaya kesempatan ini tidak muncul di laporan keuangan, tapi muncul di posisi institusi dua atau tiga tahun kemudian.

Baca juga: FAQ Seputar Keamanan Data di SEVIMA Platform

Pola yang Sering Terlihat

[Cerita Pak Iwan adalah ilustrasi fiktif. Tapi pola percakapan setelah insiden seperti ini, di kampus yang tidak menanyakan akuntabilitas keamanan sebelum kontrak, bukan fiksi.]

Pak Iwan, Wakil Rektor Bidang II di sebuah PTS menengah, menandatangani kontrak sistem akademik baru tahun lalu. Evaluasi berjalan tiga bulan. Yang dibahas: harga, fitur SIAKAD, modul keuangan, dukungan pelaporan PDDikti. Yang tidak dibahas: arsitektur keamanan, prosedur insiden, lokasi data center, hak akses tim vendor.

Enam bulan setelah implementasi, ada upaya akses tidak sah dari IP luar negeri. Tidak berhasil masuk, tapi ada percobaan. Pak Iwan menanyakan ke vendor: siapa yang bertanggung jawab? Vendor menunjuk ke penyedia infrastruktur cloud. Penyedia infrastruktur menunjuk ke vendor sebagai pemilik aplikasi. Pak Iwan baru sadar dia tidak pernah menanyakan satu pertanyaan dasar: kalau ada masalah, siapa yang akan dia panggil?

Lima Pertanyaan yang Harus Ditanyakan Sebelum Bicara Harga

Lima pertanyaan ini bukan checklist teknis. Ini filter strategis, kalau vendor tidak bisa menjawab dengan jelas, pertimbangan harga dan fitur menjadi tidak relevan.

1. Kalau terjadi insiden keamanan, siapa satu pihak yang bertanggung jawab? Bukan dua pihak. Bukan tiga. Satu. Kalau jawabannya adalah rantai vendor, kampus yang menanggung beban koordinasi saat krisis terjadi.
2. Bagaimana data kampus kami terpisah dari kampus lain yang menggunakan sistem yang sama? Jawaban “data kami aman” tidak cukup. Yang cukup adalah penjelasan teknis tentang isolasi data yang bisa diaudit.
3. Kalau kami memutuskan berhenti berlangganan, dalam format apa data kami dikembalikan, dan dalam berapa hari? Vendor yang baik sudah menyiapkan jawaban ini di kontrak. Vendor yang menghindari pertanyaan ini adalah peringatan dini.
4. Kalau sistem mengalami gangguan total, berapa lama waktu pemulihan, dan apa yang dijamin secara tertulis? Tidak ada jawaban berarti tidak ada jaminan. Tidak ada jaminan berarti risiko sepenuhnya di kampus.
5. Siapa yang punya akses ke data kampus kami dari pihak vendor, dan bagaimana akses itu dipantau? Setiap akses harus di log. Setiap log harus bisa diaudit oleh kampus, bukan hanya oleh mitra.

Keamanan data bukan fitur tambahan yang ditawarkan mitra. Keamanan data adalah pondasi yang menentukan apakah seluruh investasi sistem akademik institusi akan bertahan atau hilang dalam satu insiden. Pertanyaan tentang keamanan data bukan pertanyaan teknis. Itu pertanyaan strategis tentang siapa yang dipercaya memegang infrastruktur informasi institusi.

Memahami Arsitektur Platform Akan Berpengaruh Besar Bagi Perguruan Tinggi

Platform akademik yang memegang seluruh aliran data kampus, dari PMB sampai pelaporan PDDikti, memberi satu titik akuntabilitas. Bukan sekadar kemudahan teknis. Ini soal siapa yang bertanggung jawab ketika data bermasalah.

Arsitektur terdistribusi memindahkan beban itu ke kampus. Data tersebar di beberapa sistem, titik integrasi dikelola sendiri, dan setiap kali ada pembaruan di satu sisi, tata kelola di sisi lain ikut terganggu. Arsitektur terpadu bekerja sebaliknya: PMB, akademik, keuangan, dan PDDikti berdiri di pondasi yang sama. Akuntabilitas tidak perlu dikonfigurasi ulang setiap siklus karena formatnya konsisten secara otomatis.

Yang sering tidak disadari keputusan ini dibuat sekali, di tahap evaluasi awal, ketika memilih sistem informasi akademik. Dampaknya terbawa 5 sampai 10 tahun. Kedaulatan data kampus, seberapa jauh institusi punya kendali atas datanya sendiri, ditentukan oleh tingkat keterpaduan arsitektur yang dipilih saat itu.

Platform Terpercaya dengan Model Keamanan Holistik

Model keamanan SEVIMA dirancang sebagai sistem perlindungan menyeluruh yang mengintegrasikan teknologi canggih, kebijakan yang kuat, dan perlindungan hukum. Pendekatan ini memastikan platform yang aman, terpercaya bagi institusi pendidikan, serta memberikan nilai nyata bagi seluruh ekosistem pendidikan.

Ketiga aspek tersebut bekerja secara terpadu membentuk sistem pertahanan berlapis. Aspek teknis mengimplementasikan kontrol keamanan, aspek kebijakan menetapkan standar dan prosedur penggunaan, sementara aspek hukum memberikan landasan perlindungan yang komprehensif. Integrasi ini menghasilkan sistem keamanan yang adaptif dan responsif, di mana setiap komponen saling melengkapi untuk menciptakan perlindungan yang konsisten dan berkelanjutan.

Keamanan adalah proses yang berkelanjutan, dan SEVIMA berkomitmen untuk terus menjaga dan mengembangkan langkah-langkah ini demi melindungi apa yang paling penting. Melalui implementasi standar ISO 27001, SEVIMA membangun ekosistem digital yang tangguh dengan pemantauan keamanan 24/7 yang didukung oleh tim ahli cybersecurity bersertifikasi. Komitmen ini menjadikan SEVIMA sebagai pionir keamanan data di industri edutech Indonesia. 

Platform Terpercaya dengan Model Keamanan Holistik

Model keamanan SEVIMA dirancang sebagai sistem perlindungan menyeluruh yang mengintegrasikan teknologi canggih, kebijakan yang kuat, dan perlindungan hukum. Pendekatan ini memastikan platform yang aman, terpercaya bagi institusi pendidikan, serta memberikan nilai nyata bagi seluruh ekosistem pendidikan.

Ketiga aspek tersebut bekerja secara terpadu membentuk sistem pertahanan berlapis. Aspek teknis mengimplementasikan kontrol keamanan, aspek kebijakan menetapkan standar dan prosedur penggunaan, sementara aspek hukum memberikan landasan perlindungan yang komprehensif. Integrasi ini menghasilkan sistem keamanan yang adaptif dan responsif, di mana setiap komponen saling melengkapi untuk menciptakan perlindungan yang konsisten dan berkelanjutan.

Keamanan adalah proses yang berkelanjutan, dan SEVIMA berkomitmen untuk terus menjaga dan mengembangkan langkah-langkah ini demi melindungi apa yang paling penting. Melalui implementasi standar ISO 27001, SEVIMA membangun ekosistem digital yang tangguh dengan pemantauan keamanan 24/7 yang didukung oleh tim ahli cybersecurity bersertifikasi. Komitmen ini menjadikan SEVIMA sebagai pionir keamanan data di industri edutech Indonesia. 

SEVIMA mendampingi ratusan kampus dengan arsitektur seperti ini, dan pola yang konsisten muncul: kampus dengan satu titik akuntabilitas merespons insiden lebih cepat dan dengan biaya lebih rendah dibanding kampus yang harus mengoordinasi beberapahal  mitra saat krisis.

Diposting Oleh:

Liza SEVIMA