Di area manajemen, kita sudah sering mendengar ‘The 80/20 rules’ atau yang dikenal juga dengan ‘Pareto Principle’. Tahun 1906, Vilredo Pareto (ekonom dari Italia) membuat formula matematika yang menggambarkan bahwa 80% kemakmuran pada sebuah negara hanya dimiliki oleh 20% dari total masyarakatnya. Dan sepertinya aturan ini masih berlaku hingga sekarang, terutama di Indonesia. Pada tahun 1940an, Dr. Joseph M Juran menamakan aturan 80/20 ini sebagai Pareto’s Law atau Pareto’s Principles untuk area manajemen kualitas. Dari hasil observasi Dr. Juran ini dikenal istilah “vital few and trivial many”, yang mana 20% dari sesuatu (vital) selalu berkaitan/mengakibatkan 80% hasilnya (trivial). Dalam Manajemen Proyek diketahui bahwa 20% dari pekerjaan (10% awal dan 10% akhir) menghabiskan 80% dari waktu dan sumber daya yang dimiliki.

Makna dari Pareto Principle ini bagi para manajer adalah agar focus pada 20% pekerjaan yang benar-benar berarti untuk mendapatkan 80% hasil yang diharapkan ataupun menghindari 80% dari masalah yang ada. Prinsip ini akhirnya mendorong apa yang disebut dengan Superstar Management dimana hanya 20% dari staff yang dimiliki organisasi yang akan menghasilkan 80% dari pencapaian perusahaan. Teori ini juga berlaku untuk kehidupan sehari-hari dimana 80% dari waktu dan energy kita harus difokuskan pada 20% pekerjaan yang benar-benar penting. “Don’t just work smart, but work smart on the right things”. Apalagi hanya “work, work, work” 😀

Kita lanjut ke prinsip lainnya yang serupa tapi tak sama dengan 80/20 rules ini yaitu 90/10 rules. Siapa yang tak kenal dengan Stephen Covey? Yups, penulis yang terkenal dengan bukunya 7 Habits ini juga memiliki “hipotesis” yang dikenal dengan 90/10 principles. Apa itu?  “10% of life is made up of what happens to you, 90% of life is decided by how you react” Maksudnya adalah kita tidak punya kendali terhadap 10% kejadian yang menimpa hidup kita, tetapi kita bisa menentukan 90% sisanya.. dari bagaimana reaksi kita terhadap 10% kejadian tadi. Misalnya, pagi hari tiba-tiba orang tua mahasiswa wali datang dan marah-marah karena membela anaknya yang nyaris DO (curcol..heheh). Kalau kita bereaksi dengan balik marah kepada orang tua tersebut, apa yang akan terjadi? Bisa jadi kita diberi SP oleh pak Rektor karena bersikap buruk terhadap “raja” (baca: pelanggan), nama kampus (dan diri pribadi) jadi hancur karena si ortu cerita ke saudara2 dan rekan2 nya, dan sebagainya. Tapi kalau kita hadapi dengan sabar dan baik, bisa jadi si ortu akhirnya memahami kenapa anaknya sampai harus di DO dan menjalin hubungan yang baik di masa depan.

Ini sebenarnya mau bahas apa ya? OK, back to topic…

Masih terkait dengan 90/10 rules tapi di bidang computer security. Computer Security adalah perlindungan terhadap sistem computer dan data yang disimpan atau diakses di dalamnya. Istilah yang lebih luas lagi adalah information security, yaitu perlindungan terhadap data dan informasi yang dimiliki organisasi baik yang terkomputerisasi maupun tidak (seperti dokumen yang ditulis tangan, informasi yang diucapkan secara lisan, dan sebagainya). Nah, Computer Security maupun information security yang baik harus mematuhi “90/10” rules ini, yaitu 10% perlindungan security adalah masalah teknis dan 90% sisanya bergantung pada pengguna komputer untuk mematuhi praktik-praktik security yang baik (non-teknis). Misalnya, PC di kantor sudah dipasang password yang rumit dan memiliki tingkat Strength (ini 10% perlindungan). Untuk menjaga password ini tetap aman, si penggunanya (user) tidak boleh menempel password di sembarang tempat agar mudah diingat, tidak memberitahu password kepada orang lain agar bisa menggunakan computer bersama, mengganti password secara berkala, dsb (inilah 90% perlindungannya). Untuk mendapatkan security yang efektif maka kedua aspek tersebut (teknis dan non-teknis) harus dipenuhi.

Apa makna dari 90/10 principles ini?

Bahwa, keamanan informasi adalah TANGGUNG JAWAB SEMUA. Setiap orang dalam organisasi harus  memahami bagaimana menjaga komputer mereka, perangkat dan data-data yang ada agar tetap aman. Organisasi sendiri harus membuat kebijakan, prosedur dan standar terkait keamanan informasi tersebut agar dapat menjadi acuan dalam “good practice” yang akan dilakukan oleh para anggota organisasi. Untuk itu, selain “aturan main” tersebut perlu juga yang namanya kesadaran (awareness) dari setiap orang untuk menjalankan praktik-praktik yang baik dalam menjaga keamanan informasi. Kadang kala, aspek non-teknis (baca : manusia) inilah yang paling sulit diatur dalam manajemen keamanan informasi. Makanya tidak heran porsinya memiliki presentasi yang lebih besar.