Mengenal Fazpass Seamless Authentication sebagai Solusi Autentikasi Modern

Ancaman cyber yang selalu berkembang membuat kepercayaan pada One-Time Password (OTP) tradisional untuk keamanan akun online mulai dipertanyakan. OTP mulai dianggap tidak lagi memberikan perlindungan yang kokoh. Sehingga muncullah perlindungan lain seperti Passwordless Authentication. Passwordless Authentication, yang juga dikenal sebagai Seamless Authentication, menawarkan metode otentikasi yang lebih aman dan ramah pengguna.

Temukan potensi transformasi dari passwordless authentication, seperti Fazpass Seamless, dan mari kita buka bersama masa depan otentikasi!

Apakah Anda Yakin OTP Saja Cukup?

Walaupun One-Time Passwords (OTPs) menjadi langkah keamanan berharga, dalam situasi tertentu, kemungkinan perlu tambahan langkah-langkah keamanan. Berikut beberapa alasan mengapa OTP saja mungkin tidak cukup:

Serangan Phishing: OTP rentan terhadap serangan phishing di mana penyerang memanipulasi individu untuk mengungkapkan OTP mereka. Jika pengguna tanpa sengaja memberikan OTP pada situs web jahat atau email phishing, keamanan OTP terkompromi.
Pertukaran SIM: Dalam serangan pertukaran SIM, penyerang mengambil kendali nomor telepon pengguna dengan meyakinkan penyedia telekomunikasi untuk mentransfer nomor ke kartu SIM baru. Setelah mengendalikan nomor telepon, penyerang dapat menyadap OTP yang dikirim via SMS, mengalahkan tujuan otentikasi dua faktor.
Serangan Man-in-the-Middle: Penyerang man-in-the-middle (MitM) dapat menyadap OTP selama komunikasi antara pengguna dan layanan. Ini terjadi jika saluran komunikasi dikompromi, dan penyerang dapat membaca atau mengubah pesan yang berisi OTP.
Pencurian atau Kehilangan Perangkat: Jika perangkat pengguna dicuri atau hilang, penyerang dapat mendapatkan akses ke OTP yang tersimpan atau menyadap OTP yang dikirim ke perangkat tersebut.
Malware: Perangkat lunak berbahaya di perangkat pengguna dapat menangkap OTP, bahkan jika dihasilkan secara lokal di perangkat. Malware dapat mengompromi keamanan OTP dengan mendapatkan akses ke proses generasi.
Ketepatan Waktu: OTP bersifat waktu; jika tidak digunakan dalam jangka waktu tertentu, menjadi tidak valid. Ini dapat menimbulkan tantangan, terutama ketika terjadi keterlambatan atau gangguan.

Banyak sistem beralih ke passwordless authentication untuk meningkatkan langkah-langkah keamanan menuju sistem otentikasi multi-faktor yang lebih kuat. Ini menghilangkan ketergantungan pada kata sandi satu kali tradisional dan menambahkan lapisan perlindungan terhadap penyerang yang mencoba mengompromikan akun pengguna.

Mengenal Apa Itu Passwordless Authentication

Passwordless authentication, sering disebut sebagai Seamless Authentication, mewakili pergeseran paradigma revolusioner dalam cara pengguna mengakses akun digital mereka tanpa kata sandi tradisional. Pendekatan inovatif ini bertujuan untuk meningkatkan keamanan, pengalaman pengguna, dan kenyamanan keseluruhan dalam lanskap interaksi online yang terus berkembang.

Manfaat Passwordless Authentication

Kata sandi mungkin telah menjadi batu penjuru dalam dunia otentikasi selama bertahun-tahun, tetapi pengguna semakin berhati-hati. Passwordless authentication, khususnya Fazpass Seamless, memiliki berbagai manfaat, termasuk:

Meningkatkan Keamanan Lebih Mudah: Salah satu keuntungan kritis dari passwordless authentication adalah kemampuannya untuk memberikan pengalaman pengguna yang mulus. Karena kata sandi yang hilang, akun yang dibatasi, atau kebutuhan untuk mereset kata sandi, sistem berbasis kata sandi tradisional seringkali menyebabkan keterlambatan dan kejengkelan.
Pencegahan Penipuan Lebih Kuat: Phishing adalah jenis penipuan umum yang melibatkan menipu individu untuk memberikan informasi pribadi seperti kata sandi. Passwordless authentication menghilangkan risiko phishing karena pengguna tidak masuk menggunakan kata sandi. Sebaliknya, mereka menggunakan metode yang sulit dipalsukan, seperti biometrik atau kode satu kali pakai.
Mensederhanakan Otomatisasi Otentikasi: Dengan passwordless authentication, pengguna dapat menggunakan metode otentikasi yang lebih cepat, seperti biometrik, tanpa memerlukan pengingatan kata sandi yang rumit. Ini dapat membantu mengoptimalkan otomatisasi proses otentikasi bahkan saat pengguna tidur.
Identifikasi Biometrik untuk Peningkatan Keamanan: Identifikasi biometrik, seperti sidik jari dan pengenalan wajah, memberikan tingkat keamanan yang lebih tinggi daripada kata sandi tradisional. Ciri-ciri biometrik bersifat unik dan sulit dipalsukan, mengurangi risiko akses tanpa izin.
Otentikasi Instan dengan Magic Links: Kemudahan otentikasi instan melalui Magic Links adalah salah satu keuntungan penting dari passwordless authentication. Magic Links memungkinkan pengguna mengakses akun mereka dengan cepat melalui tautan yang aman yang dikirim melalui email atau pesan teks. Ini menghilangkan kebutuhan untuk menghafal kata sandi.
Keamanan Multilayer: Keamanan multilayer adalah keuntungan dari passwordless authentication karena menggabungkan beberapa faktor, seperti biometrik, pengenalan perangkat, dan kode satu kali pakai. Pendekatan ini meningkatkan keamanan dengan membuat penyerang harus merusak beberapa penghalang.

OTP vs. Seamless: Apa Perbedaannya?

Perbandingan OTP dan Seamless untuk metode autentikasi / Faspazz

One-time passwords (OTP) dan Seamless Authentication keduanya menawarkan akses yang aman. Tapi mana yang lebih baik? Mari kita bandingkan dan membantu Anda memutuskan keamanan digital Anda.

Keamanan

OTP: Meskipun menawarkan lapisan keamanan tambahan dibandingkan dengan kata sandi tradisional, OTP rentan terhadap serangan phishing, pertukaran SIM, dan penyadapan selama transmisi.
Seamless: Pendekatan ini menghilangkan risiko yang terkait dengan OTP dengan menggunakan pencegahan penipuan canggih, identifikasi biometrik, dan kepatuhan terhadap standar FIDO Alliance, memberikan pengalaman pengguna yang kokoh dan aman.

Tingkat Verifikasi

OTP: Tingkat verifikasi OTP dapat tidak konsisten, dengan hingga 40% OTP SMS yang tetap tidak terverifikasi.
Seamless: Dengan tingkat verifikasi yang mencapai 97%, Seamless Authentication memastikan proses login yang andal dan efisien, meminimalkan kemungkinan kegagalan verifikasi yang menjengkelkan.

Kemudahan Pengguna

OTP: Pengguna sering merasa memasukkan OTP lebih nyaman namun memakan waktu, berkontribusi pada pengalaman pengguna yang kurang ideal.
Seamless: Dengan tingkat kepuasan pengguna 93%, Seamless Authentication menghilangkan kebutuhan akan kode dan kata sandi yang kompleks, menawarkan pengalaman login yang mudah dan ramah pengguna.

Efisiensi Biaya

OTP: OTP tradisional dapat menimbulkan biaya signifikan, terutama dengan OTP SMS yang rata-rata dibandrol Rp500 dan OTP WA seharga Rp400 per pesan.
Seamless: Fazpass Seamless memperkenalkan model yang efisien secara biaya, memungkinkan bisnis mengurangi biaya OTP hingga 70%, membayar hanya per Pengguna Aktif Bulanan (MAU) dengan satu tarif untuk semua negara.

Kecepatan dan Keandalan

OTP: Masalah pengiriman, tidak adanya status pengiriman untuk OTP SMS, dan pengalaman pengguna yang kurang optimal dengan OTP WA menyebabkan otentikasi yang lebih lambat dan bermasalah.
Seamless: Dengan proses otentikasi yang cepat, andal, dan ramah pengguna, Seamless Authentication memastikan pengalaman login yang lancar di berbagai platform, termasuk Android, iPhone, dan Microsoft.

Fazpass Seamless: Cara Mudah Tingkatkan Keamanan

Sudah saatnya untuk mengakhiri era kesulitan dan risiko akun yang timbul dari perlindungan One-Time Password (OTP) yang terbatas. Sambutlah kehadiran Fazpass Seamless Authentication, solusi tanpa kata sandi yang sempurna untuk otentikasi pengguna yang bebas masalah dan aman. Dengan Fazpass Seamless, katakan selamat tinggal pada berbagai kendala dan nikmati keamanan yang terdepan serta pengalaman pengguna yang mulus.

Berbeda dengan OTP, Fazpass Seamless Authentication menawarkan pengalaman pengguna tanpa gesekan tanpa mengorbankan keamanan. Dengan perlindungan berlapis dan proses yang aman, Anda dapat percaya bahwa data Anda dan informasi pribadi pengguna terlindungi dari ancaman dunia maya.

Fazpass Seamless Authentication menawarkan pengalaman pengguna yang lebih nyaman dan memperkuat lingkungan digital Anda terhadap pengambilalihan akun, penipuan pembayaran, dan serangan rekayasa sosial. Ini beradaptasi dengan ancaman yang terus berkembang, memastikan aset digital Anda selalu terlindungi.

–

Disclaimer: Artikel ini dikembangkan oleh tim Fazpass

Passkey: Cara Simpel Tingkatkan Keamanan & Pengalaman Akun Pengguna

Password atau kata sandi kerap menjadi masalah, seringkali lemah dan terlupakan. Bahkan yang kuat pun tidak sepenuhnya aman. Manajer kata sandi mungkin membantu, tetapi juga tidak selalu sempurna. Passkey menawarkan solusi yang lebih baik setelah satu dekade pengembangan. Berbeda dengan kata sandi, passkey lebih aman dan mudah digunakan karena tidak memerlukan kombinasi yang rumit, melawan phishing, dan meningkatkan keamanan.

Sebagai alternatif yang dapat diandalkan, passkey menghilangkan risiko yang terkait dengan kata sandi tradisional dan manajer kata sandi yang tidak handal. Ini adalah masa depan yang lebih sederhana dan lebih aman untuk melindungi akun penting, menawarkan perubahan menyambut dari sistem kata sandi yang ketinggalan zaman dan tidak aman. Jadi, jika Anda ingin mengetahui lebih banyak tentang arti passkey, manfaat mereka, dan apakah mereka lebih baik dari kata sandi, baca ulasan di bawah ini:

Apa Itu Passkey?

Masa depan tanpa kata sandi semakin mendapatkan momentum sebagai respons terhadap ancaman siber yang meluas. Dengan miliaran kredensial yang dikompromikan, FIDO Alliance, Apple, dan Google Passkey memimpin solusi otentikasi tanpa kata sandi. Pergeseran ini bertujuan untuk meningkatkan keamanan di tengah seringnya pelanggaran data dan keadaan terancamnya kata sandi tradisional.

Secara sederhana, passkey adalah cara untuk masuk tanpa menggunakan kata sandi. Pendekatan modern ini mengandalkan kriptografi kunci publik untuk mengonfirmasi akses Anda ke situs web dan aplikasi.

Alih-alih membuat kata sandi, Anda memberi izin kepada “autentikator” untuk menghasilkan passkey, yang terdiri dari kunci kriptografi yang saling terhubung. Autentikator ini bisa menjadi smartphone Anda, perangkat seluler lainnya, atau manajer kata sandi yang mendukung passkey.

Autentikator masih memerlukan metode untuk mengonfirmasi identitas Anda. Ini mungkin melibatkan memasukkan kata sandi master atau menggunakan biometrik seperti Face ID atau Touch ID, menambahkan lapisan keamanan dan kemudahan. Identifikasi biometrik menghilangkan kebutuhan untuk mengingat kata sandi autentikator dan menawarkan alternatif yang lebih aman dan nyaman dibandingkan dengan kata sandi tradisional.

Passkey Anda disimpan dengan aman dalam vault, seperti keychain perangkat Anda atau manajer kata sandi. Karena dapat disinkronkan di seluruh perangkat, penggunaan passkey berjalan lancar dan nyaman, meningkatkan pengalaman pengguna secara keseluruhan dibandingkan dengan kata sandi.

Bagaimana Cara Passkey Bekerja?

Menggunakan passkey menawarkan keuntungan signifikan dalam keamanan akun dengan menghilangkan kebutuhan untuk berbagi informasi sensitif, seperti kata sandi atau pertanyaan keamanan, untuk mengakses akun.

Sebaliknya, saat membuat akun, seorang autentikator, seperti manajer kata sandi yang mendukung passkey atau perangkat seluler, membuat dua kunci kriptografi. Satu kunci, kunci publik, disimpan di situs web tempat akun dibuat, sementara yang lain, kunci pribadi, disimpan dengan aman dalam autentikator Anda.

Pada percobaan login selanjutnya, autentikator Anda dan situs web terlibat dalam komunikasi untuk memverifikasi identitas Anda tanpa pertukaran informasi sensitif yang dapat dieksploitasi oleh peretas. Proses ini memastikan login yang aman tanpa kerentanan yang terkait dengan metode berbagi kata sandi tradisional.

Passkey, melalui desain kriptografisnya, meningkatkan perlindungan akun dengan menggunakan sistem yang mengotentikasi pengguna tanpa mengungkapkan rahasia apa pun, dengan demikian mengurangi risiko akses tanpa izin dan potensi pelanggaran keamanan.

Manfaat Menggunakan Passkey

Passkey berfungsi sebagai pengganti kata sandi dalam teknologi otentikasi, dan ada beberapa keuntungan menggunakan passkey dibandingkan dengan kata sandi tradisional. Berikut beberapa manfaat mengadopsi passkey:

Login Account Lebih Gampang

Keuntungan menggunakan passkey terletak pada memudahkannya proses login, menawarkan alternatif yang lebih ramah pengguna dibandingkan dengan kata sandi tradisional. Passkey memberikan solusi praktis karena pengguna terbebas dari beban mengingat kata sandi yang panjang dan rumit.

Transisi ini memungkinkan akses ke akun lebih cepat dan lebih mudah, menghemat waktu dan meminimalkan frustrasi, terutama untuk individu yang mengelola banyak akun online. Keberagaman penggunaan passkey melampaui login akun; mereka juga dapat digunakan untuk mengenkripsi email atau menandatangani dokumen digital, menunjukkan fleksibilitasnya sebagai alat keamanan online yang komprehensif.

Selain itu, penekanan pada kesederhanaan dan efisiensi dalam proses login, bersama dengan kegunaan yang lebih luas dari passkey, membuatnya menjadi pilihan yang diutamakan dan berpusat pada pengguna untuk meningkatkan keamanan online dan manajemen akses.

Kompatibilitas Cross-Platform

Penggunaan passkey menawarkan keuntungan berharga yang dikenal sebagai kompatibilitas cross-platform, memastikan pengalaman yang lancar di berbagai perangkat dan sistem. Passkey berfungsi sebagai kunci universal, memberikan akses ke akun dan sumber daya Anda tanpa mengalami masalah kompatibilitas di platform yang berbeda.

Ini sangat menguntungkan karena menyederhanakan proses otentikasi, memungkinkan Anda menggunakan passkey yang sama di komputer, ponsel pintar, atau tablet Anda. Dengan pendekatan yang terpadu ini, tidak perlu mengingat beberapa kata sandi untuk perangkat yang berbeda, menyederhanakan proses login dan meningkatkan kenyamanan pengguna.

Passkey berfungsi sebagai alat yang serbaguna, meruntuhkan batasan antar platform dan memberikan pengalaman yang konsisten dan mudah diakses, akhirnya membuat interaksi digital menjadi lebih sederhana dan ramah pengguna.

Tidak Repot Menghapal Kata Sandi

Menghapal kata sandi sering menjadi masalah bagi banyak orang, belum lagi jika setiap akun memiliki sandi berbeda. Ini adalah salah satu keuntungan menggunakan passkey karena mereka menawarkan kemudahan dan keamanan dalam otentikasi pengguna. Di lanskap digital saat ini, individu mengelola banyak akun dengan berbagai bisnis, menghadirkan tantangan mengingat beberapa kata sandi kompleks.

Pengguna lupa kata sandi seringkali harus mengganti sandi, sehingga menciptakan pengalaman pengguna yang tidak menyenangkan. Passkey mengatasi masalah ini dengan memungkinkan pengguna masuk tanpa bergantung pada kata sandi tradisional.

Selain itu, kebutuhan akan pembuatan dan mengingat kata sandi kompleks digantikan oleh kemudahan otentikasi melalui metode yang sudah dikenal seperti perangkat seluler, email, atau biometrik. Proses login yang disederhanakan ini tidak hanya meningkatkan keamanan, tetapi juga secara signifikan meningkatkan pengalaman pengguna secara keseluruhan dengan mengurangi beban mengingat dan mengelola beberapa kata sandi, sehingga menghilangkan kelelahan kata sandi.

Passkey vs. Kata Sandi: Mana yang Lebih Baik?

Anda telah memahami bagaimana passkey bekerja, dan dalam proses ini, tidak ada pertukaran rahasia antara server dan autentikator Anda. Ini berbeda dari otentikasi berbasis kata sandi, di mana detail tentang kata sandi rahasia dipertukarkan untuk mengonfirmasi keakuratannya.

Passkey, berdasarkan kriptografi kunci publik, juga tidak bergantung pada penyimpanan rahasia bersama di server. Jadi, berbicara tentang passkey vs kata sandi, ada 3 alasan utama mengapa passkey menawarkan keamanan lebih dari kata sandi:

Tidak Mudah Ditebak atau Digunakan Kembali

Passkey tidak mudah ditebak atau digunakan kembali, menambahkan lapisan keamanan yang signifikan. Ini mengurangi risiko akses tanpa izin karena passkey dihasilkan secara unik untuk aplikasi atau situs web tertentu.

Tahan Terhadap Upaya Phishing

Passkey, yang terikat secara unik dengan aplikasi atau situs web tertentu, membuat sulit bagi pelaku jahat untuk menipu pengguna agar menggunakannya di situs palsu atau yang tidak sah.

Tidak Tersimpan di Server Pihak Ketiga

Karena passkey hanya disimpan di perangkat Anda, peretas tidak dapat mencurinya dengan meretas server atau database penyedia layanan. Faktor-faktor ini secara kolektif berkontribusi pada peningkatan keamanan passkey dibandingkan dengan kata sandi tradisional.

Passkey x Fazpass Seamless: Dapatkan Perlindungan Ganda!

Anda perlu tahu bahwa Passkey x Fazpass Seamless memberikan solusi yang kokoh untuk keamanan otentikasi dengan menghilangkan kebutuhan akan kata sandi. Kombinasi ini menjamin keamanan yang ditingkatkan melalui fitur-fitur seperti biometrik atau PIN, meminimalkan risiko serangan phishing.

Passkey berkontribusi pada peningkatan keamanan, login yang lebih cepat, dan peningkatan kenyamanan pengguna dengan menghilangkan kebutuhan untuk mengingat kata sandi yang kompleks. Dengan tambahan lapisan otentikasi modular end-to-end yang mulus yang ditawarkan oleh Fazpass, bisnis dapat mencapai tingkat keamanan yang lebih tinggi.

Pendekatan komprehensif ini tidak hanya menangani kekhawatiran keamanan, tetapi juga menyederhanakan proses autentikasi, membuatnya efisien dan ramah pengguna. Dengan mengadopsi Passkey x Fazpass Seamless, bisnis dapat mendapatkan perlindungan ganda, memperkuat langkah-langkah keamanan mereka dan melindungi informasi sensitif dengan efektif.

–

Disclosure: Artikel ini dikembangkan oleh tim Fazpass

Penerapan Strategi “Product-led Growth” di Startup

Dalam menjalankan sebuah startup, penting bagi founder untuk bisa menentukan strategi yang tepat untuk bisa mengembangkan bisnis menjadi berkelanjutan. Ada bermacam-macam strategi pertumbuhan yang bisa dilakukan perusahaan baik dari sisi produk maupun sales.

Dalam kesempatan kali ini, #SelasaStartup ingin mengupas lebih dalam terkait product-led growth bersama tim produk dari tiga startup yaitu Amplitude, Vidio, dan Pluang.

Product-led growth atau strategi pertumbuhan yang bertumpu pada produk ini merupakan metodologi bisnis di mana akuisisi pengguna, ekspansi, konversi, dan retensi semuanya dikendalikan oleh produk itu sendiri. Hal ini menciptakan keselarasan seluruh perusahaan di seluruh tim—dari teknisi hingga tim penjualan dan pemasaran—di sekitar produk sebagai sumber terbesar pertumbuhan bisnis yang berkelanjutan dan terukur.

Tidak ada strategi satu-untuk-semua

Diskusi #SelasaStartup terkait product-led growth ini menghadirkan tiga startup yang memiliki segmen berbeda. Amplitude dengan produk SaaS platform analitiknya, Vidio yang menawarkan layanan video-on-demand, juga Pluang dengan produk investasinya. Ketiga produk ini hanyalah beberapa jenis dari sekian banyak produk yang ditawarkan di luar sana.

Dalam menerapkan product-led growth, VP of Product Pluang Robert Tan mengungkapkan fakta bahwa “there’s no one strategy that fits to all” atau tidak ada satu strategi yang akan cocok untuk semua segmen. Contohnya saja, ketika Pluang berusaha meningkatkan penetrasi dengan memungkinkan e-KYC lintas platform, hal ini tidak berlaku di layanan video karena bisnisnya tidak mengharuskan pengguna untuk melakukan KYC.

Robert turut menambahkan bahwa product-led growth bukan semata-mata tanggung jawab tim produk dalam suatu perusahaan. Growth atau pertumbuhan adalah tugas dari semua tim. Bagaimana semua tim bisa berkoordinasi dengan baik guna memaksimalkan value yang diterima pengguna. Maka dari itu, dibutuhkan waktu khusus untuk semua divisi berkumpul dan mengorkestrasikan strategi ini bersama sehingga tidak ada fungsi yang overlap.

Ketika cahaya melewati prisma, warna berbeda yang membentuk cahaya putih menjadi terpisah dan menciptakan efek pelangi. Sumber: productled.org

Prisma di atas dapat diibaratkan sebagai perusahaan yang bertumpu pada produk. Warna yang berbeda adalah semua tim yang berbeda—pemasaran, penjualan, CS, desain, teknisi—yang biasanya beroperasi pada panjang gelombang yang berbeda. Alih-alih memisahkan mereka, prisma yang dipimpin produk menyatukan tim-tim ini. Panjang gelombang gabungan mereka membentuk cahaya terang dan fokus terhadap pengalaman pengguna (user experience).

Penggunaan data

Terkait waktu yang tepat untuk memulai product-led growth, Enterprise Account Executive Amplitude SEA Karina Gunawan mengatakan, banyak startup yang merasa tidak siap jika belum mencapai tahap tertentu dalam bisnisnya. Namun, dalam dinamika industri teknologi saat ini, kita dituntut untuk bisa bergerak cepat. Tentunya, tetap dengan pertimbangan-pertimbangan yang matang.

Untuk bisa bergerak lebih dinamis, tentunya tidak mudah dan penuh tantangan. Contohnya dari sisi data, tidak mudah untuk bisa memproses dan menganalisis semua data yang ada. Bahkan untuk mendapatkan data tersebut juga tidak mudah. Sugesti dari Karina adalah agar perusahaan rintisan bisa menentukan prioritas, apa yang menjadi goal, sehingga ketika berhadapan dengan data, mereka bisa lebih selektif. “Tidak perlu mendapatkan semua data, cukup yang relevan saja,” ujarnya.

Dari sisi data, ada banyak cara untuk mendapatkan data-data yang relevan, seperti terlibat langsung dengan pengguna, seperti melakukan survey atau wawancara. Pilihan lainnya, bisa dengan investasi di perusahaan data atau pihak ketiga untuk bisa mendapatkan data yang layak dan bisa digunakan untuk mendorong perkembangan perusahaan.

Menyederhanakan proses, memaksimalkan hasil

Chief Product Officer Vidio Dhiku Hadikusuma Wahab membagikan prinsipnya terkait penerapan product-led growth dalam perusahaan rintisan. Pertama, mulai dari masalah pengguna, masing-masing tim sebagai representasi pengalaman pengguna dan menuangkan inisiatif untuk ke depannya dimasukkan ke dalam roadmap. Kedua, fokus pada core feature, nilai seperti apa yang ingin diberikan. Vidio sebagai platform video-on-demand fokus pada player.

Yang ketiga adalah simplicity. Pastikan nilai-nilai yang ditawarkan dapat diterima dengan mudah oleh pengguna. Selain itu, dari sisi teknis, satu hal yang perlu diperhatikan yaitu reusability. Ketika mengembangkan sebuah produk, sebisa mungkin pastikan bahwa produk itu bisa di replikasi dan implementasi di hal lain, sehingga bisa mendorong efisiensi pekerjaan.

Pada akhirnya, semua strategi yang dilancarkan semata-mata bertujuan untuk bisa membawa pengguna kembali ke platform/layanan atau yang sering disebut customer retention. Bagaimana bisa mereplikasi pengalaman dari pengguna yang puas serta mengimplementasikannya pada pengguna yang belum puas. Aha moment is real, ketika pengguna dapat merasakan value yang ditawarkan, maka hal ini juga yang akan menentukan keberlanjutan bisnis perusahaan.

Cerita Proses Validasi Pasar Mekari, Mulai dari Sleekr hingga Keputusan Konsolidasi

Di tengah pasar yang kompetitif dan serba tidak pasti, pengusaha dituntut untuk sangat berhati-hati dengan langkah-langkah yang diambil untuk memulai sebuah bisnis. Sebelum berbicara mengenai sustainability atau status “unicorn”, seorang founder harus bisa lebih dulu memvalidasi ide startup mereka.

Terkait hal tersebut Co-Founder & CEO Mekari Suwandi Soh berbagi banyak dalam sesi webinar DSLaunchpad ULTRA pekan lalu.

Dalam perjalanan kariernya, ia sempat menjajal banyak bidang seperti quality assurance, consulting productivity, dan business process improvement. Sebelum pada tahun 2014, ia mulai melihat peluang untuk bisnis software dalam membantu meningkatkan kinerja sumber daya manusia atau human resources (HR) pada perusahaan. Mimpi awalnya adalah untuk mendigitalkan semua proses manual dan repetitif dalam lingkup HR. Ia ingin mengembangkan solusi teknologi untuk mengubah cara kerja HR yang dinilai masih sangat konvensional.

Berawal dari proyek akhir pekan, Sleekr solusi HR berbasis cloud yang awalnya hanya digunakan untuk internal perusahaan, resmi diluncurkan untuk publik di tahun 2015. Selama beroperasi beberapa tahun, platform tersebut berhasil mencapai sejumlah milestone hingga akhirnya memutuskan untuk melakukan konsolidasi dengan beberapa startup yang kini dikenal dengan Mekari.

Fokus pada area kompetensi

Ketika pertama kali melihat peluang dalam industri HR, ada banyak sekali masalah yang bisa diangkat, seperti manajemen kinerja, pelatihan karyawan, gaji, dan sebagainya. Pada saat itu, Suwandi yang masih bekerja full-time di perusahaan sebelumnya merasa tidak bisa mencakup semuanya dalam satu waktu. Maka dari itu, ia memutuskan untuk mengangkat masalah yang paling sering ditemukan dan sesuai dengan kompetensi timnya. Dalam hal ini adalah employee database dan time-off.

“Agak berbeda dengan B2B software, kita tidak bisa melakukan bare minimum. Masalah dalam ranah HR ada banyak, maka dari itu, dalam mengembangkan software ini kita cari masalah yang paling bisa kita build, yaitu employee database, dan yang umum ditemui di semua perusahaan adalah time-off. Setelah itu baru expand,” ujar Suwandi

Karena Sleekr saat itu adalah proyek akhir pekan dan masih bootstrapping, Suwandi sendiri mengaku ada banyak hal yang harus dipelajari untuk bisa sampai pada product/market fit. Dengan jaringan investor, ia belajar menyusun pitch deck dan mulai membuat konsep produk. Setelah mencapai traksi yang signifikan dan diterima pasar, baru ia mulai fokus. Dalam validasi pasar, traksi bisa berupa adopsi fitur dan kemauan membayar atau willingness to pay.

Di masa awal pengembangan produk, Suwandi mengaku ingin lebih dulu menyasar pasar global. Hal ini didasari oleh kecenderungan masyarakat Indonesia yang masih belum mau merogoh kocek untuk solusi teknologi. Namun, seiring perjalanan ia menemukan fakta bahwa ini hanya masalah segmen seperti apa yang disasar.

Mengenai target market global, Suwandi turut mengungkapkan,”Hal itu memang menarik, jarang ada produk SaaS asal Indonesia mencapai hasil signifikan di luar. Namun, yang harus diperhatikan adalah kita harus realistis dengan kompetensi engineering di Indonesia. Jika punya keyakinan dan kompetensi tinggi, maka tidak ada yang tidak mungkin,” tambahnya.

Aktif berinteraksi dengan pengguna

Dalam proses menemukan pasar yang tepat, diperlukan komitmen yang juga kuat. Suwandi mengakui, di masa awal produknya rilis untuk publik, ia juga bekerja sebagai customer support. Ia berinteraksi langsung dengan pengguna dan mengamati setiap prosesnya. Dari situ ia mempelajari kebiasaan pengguna dan fitur seperti apa yang memegang peran dan yang tidak signifikan.

“Kita sebagai founder bisa ambil peran sebagai customer support beberapa lama sampai punya tim yang bisa dipercaya, itu merupakan area yang sangat vital.”

Pada beberapa perusahaan, sebelum mengembangkan produk, akan ada tim yang ditugaskan untuk melihat seperti apa kebutuhan pengguna. Mereka akan menemui sejumlah pengguna dan berdiskusi. Itu merupakan proses validasi yang pertama. Setelah produk dikembangkan, ada banyak alat bantu untuk mendapatkan data. Dari situ akan dilihat isunya seperti apa dan estimasi waktu untuk bisa menemukan product/market fit.

Pentingnya relasi yang baik dengan pengguna kembali dicetuskan Suwandi ketika menjawab salah satu pertanyaan terkait pergerakan inovasi di dunia startup yang serba dinamis, ia mengatakan bahwa sulit untuk bisa menjaga inovasi untuk tidak ditiru oleh pemain lain. Namun satu hal yang penting adalah seberapa besar pemahaman kita terhadap pengguna. “Fitur bisa ditiru tapi pemahaman pengguna susah ditiru.” sebutnya.

Kembali pada visi dan misi

Di tahun 2019, Sleekr meresmikan konsolidasi dengan tiga startup, yaitu Talenta, Jurnal, dan Klikpajak. Ketika itu timnya menyadari bahwa software HR belum menjadi prioritas pada banyak bisnis. Ada kebutuhan lebih mendesak seperti accounting atau pembukuan. Mereka mulai mempertimbangkan bundle yang sesuai dan mencari produk yang juga relevan. Pada saat itu visi mereka bukan lagi fokus ke HR tapi lebih ke business operating system.

Tidaklah mudah untuk menyatukan lebih dari dua perusahaan dengan visi dan misi masing-masing, namun keempat perusahaan ini berhasil menyesuaikan berbagai aspek hingga tercipta satu kesepakatan dengan merek baru yaitu Mekari. Mekari sendiri diambil dari satu kata kerja, mekar. “Kita ingin punya peran aktif membuat UKM di Indonesia empowering the progress of business and its people,” tambahnya.

Dalam proses awal melakukan merger ini, terjadi perubahan dari kompetisi jadi konsolidasi. Untuk menghindari terjadinya hal yang tidak diinginkan, perusahaan melakukan meeting internal untuk membahas visi dan misi. Dalam pertemuan itu, dibahas juga ekspektasi serta komitmen masing-masing. Jadi, ke depannya sudah bisa diproyeksikan seperti apa. Begitu juga dengan yang lain, semua harus disepakati di awal. Suwandi menegaskan meskipun bukan pembicaraan yang nyaman, tapi penting untuk dilakukan sejak awal.

Terkait masa depan Mekari, Suwandi mengungkapkan, “Visi kita adalah menjadi bisnis platform yang bisa memberdayakan bisnis-bisnis di Indonesia. Yang ingin kita capai adalah agar Mekari bisa ada di semua bisnis di Indonesia. Definisi kesuksesan kita adalah ketika pengguna bisa meningkatkan produktivitas operasional bisnis menggunakan software kita.”

Application Information Will Show Up Here

Prototyping, Cara Startup Mengembangkan Produk dengan Lebih Efisien

Selain melakukan validasi ide bisnis dan pembuatan business model yang tepat bagi startupnya, seorang founder juga perlu memikirkan bagaimana produk maupun layanannya bisa diuji kepada pengguna di awal pengembangannya. Salah satu cara melakukannya adalah dengan membuat prototipe dari platformnya. Melalui prototipe, startup dapat menguji dan mendemonstrasikan produknya dengan lebih cepat, simpel, dan efisien. Dengan begitu, startup dapat mengukur apa yang berjalan baik dan bergerak cepat untuk memperbaiki kekurangan yang dimiliki berdasarkan feedback pengguna.

Prototyping ini juga menjadi topik lanjutan dalam mentoring program akselerasi DSLaunchpad 2.0 yang didukung oleh Amazon Web Services (AWS). Pada topik ini, Ivan Arie (Co-Founder & CEO of Tanihub), Agung Bezharie Co-Founder & CEO of Warung Pintar, Mehr Vaswani (Startup Business Development Associate of AWS), dan Andrew Wangsanata (Solution Architect of AWS) hadir untuk berbagi pengalaman dan insight terkait prototyping kepada para peserta.

Kurangi Risiko dan Percepat Inovasi lewat Prototyping

Tujuan utama dari membuat prototipe bagi startup adalah mengurangi risiko produk yang dibuat di awal tidak cocok dengan kebutuhan dan keinginan pengguna saat produk dalam versi yang lebih lengkap diluncurkan. Melakukan prototyping juga membantu startup mempercepat inovasi dan mempersingkat waktu yang dibutuhkan dalam pengembangan produknya.

Prototipe dapat dibuat dengan simpel namun tetap representatif dengan fitur dan bentuk yang minimalis. Menurut Andrew Wangsanata, startup dapat membuat prototipe yang simpel sebelum membuat platform yang lebih kompleks agar dapat melakukan banyak iterasi. “Kita selalu mau simple prototype sebelum yang kompleks, jadi kita bisa mulai kecil, kita bisa gagal dengan cepat, kita bisa iterasi dengan lebih banyak.” ujarnya.

Selain itu, Andrew juga menambahkan bahwa dengan membuat prototipe, startup dapat melakukan pengembangan produk yang bagus dengan lebih efisien. “Sebenarnya kalau kita prototyping, itu akan membuat produk yang lebih bagus, harga yang lebih rendah, dan lebih efisien. Kenapa? Karena waktu kita prototyping, kita mulai dari kecil atau yang simple dan kita iterasi banyak.” tambahnya.

Lewat prototipe, startup juga dapat secara langsung melihat bagaimana pengguna merespon fitur-fitur esensial di versi awal produknya. Berbagai respon, baik positif maupun negatif, harus diperhatikan oleh founder. Hal ini berguna untuk benar-benar memvalidasi bagaimana produk yang dihadirkan dapat diterima dengan baik oleh calon pengguna ketika secara resmi diluncurkan. Tidak hanya itu, adanya prototipe juga memberikan kesempatan startup untuk membangun reputasi di kalangan pengguna.

“The point of prototype is to validate certain ideas, jadi ideas apa sih yang mau di-validate. Mau gak sih orang untuk spend their time disini, mau gak sih orang menggunakan tools ini untuk membantu bisnisnya, atau misalnya (calon pengguna) mau gak sih orang pake tools ini untuk bisa connect ke supplier atau consumernya.” jelas Agung Bezharie.

Pentingnya Mindset Agile dan Open-Minded dalam Prototyping

Guna mendukung proses prototyping yang cepat, startup juga memerlukan mindset dan framework yang mendukung, salah satunya dengan menerapkan sistem kerja yang agile. Melalui Agile ways of working, tim dapat bekerja dengan lebih cepat untuk menyelesaikan bagian-bagian kecil, serta saling terintegrasi dengan tim lain untuk mewujudkan pengembangan produk yang lebih cepat. Teknik kerja yang erat dikaitkan dengan sistem ini juga dikenal sebagai design sprint. “How you build software quickly and fast and instead of building everything upfront, you break it into smaller pieces.” ujar Mehr Vaswani saat menjelaskan tentang cara kerja yang agile.

Mindset lainnya yang juga wajib dimiliki oleh para founder adalah keterbukaan pemikiran terkait pengembangan produk. Seorang founder bisa saja memiliki ide untuk membuat aplikasi dengan kompleksitas fiturnya, akan tetapi bila hal tersebut tidak dibutuhkan oleh pengguna maka solusinya akan sia-sia dan tidak maksimal. Menurut Ivan Arie, dalam fase ini startup harus terbuka dengan pilihan berbagai opsi channel pengembangan produknya. “Keterbukaan dan open-minded dari tim co-founder itu penting banget untuk menentukan channel apa yang mau dipakai pertama kali.” jelas Ivan Arie.

Hal ini juga berkaitan dengan pemilihan bentuk prototipe yang akan digunakan. Anda bisa membuat prototipe dalam bentuk sebuah landing page, aplikasi sederhana, slide presentasi, atau bahkan dengan video penjelasan mengenai fitur yang dimiliki produk Anda. “There is no one best or only channel that is right.” ujar Ivan.

Bila menemukan kegagalan dalam proses prototyping, founder juga harus terus siap dan fokus pada perbaikan yang bisa dilakukan berdasarkan feedback dari konsumen yang didapatkan. “Kegagalan itu adalah bagian dari inovasi, kita gak bisa berinovasi tanpa kegagalan pastinya kita akan mengalami kegagalan yang besar. Yang kita mau kita bisa mengontrol bagaimana kegagalan itu terjadi.” tambah Andrew Wangsanata.

Proses prototyping ini tentunya bukan perjalanan yang mudah dan cukup dilakukan sekali saja. Feedback yang didapatkan dari konsumen, harus menjadi dorongan untuk melakukan iterasi secara terus menerus. Hal ini penting untuk dilakukan agar saat diluncurkan, platform yang dimiliki sesuai dengan kebutuhan dan kemauan pengguna. “Prototype itu gak cuma terjadi sekali, it’s a constant process that you have to do over and over again inside your startup.” tutup Agung Bezharie.

Bagaimana Perusahaan Digital Antisipasi Isu Keamanan dan Privasi Data

Kemanan dan privasi data menjadi sorotan penting beberapa waktu terakhir. Beberapa platform di Indonesia memiliki isu di area ini yang berdampak bagi puluhan juta data pengguna. Tentu ini menjadi kabar kurang baik bagi ekosistem digital yang tengah berkembang, terlebih layanan yang akhir-akhir ini bocor cenderung dari perusahaan teknologi yang cukup besar – dari sisi skala bisnis maupun cakupan penggunanya.

Aspek keamanan dan privasi data (idealnya) menjadi komponen yang harus ada dalam sebuah proses pengembangan produk digital. Diskusi mengenai langkah antisipasi dari isu tersebut menjadi menarik – terlebih bagi ekosistem startup di Indonesia yang sebagian besar produknya digital dan melibatkan data-data pribadi pengguna.

Untuk mengulas seputar hal tersebut, DailySocial berkesempatan berbincang bersama AVP Information Security Blibli Ricky Setiadi.

AVP Information Security Blibli Ricky Setiadi / Dok. Pribadi Ricky Setiadi

Berikut hasil wawancara kami:

DailySocial (DS): Isu data breach sebenarnya bukan hal baru di Indonesia, namun menjadi buah bibir ketika melibatkan platform B2C/C2C dengan basis pengguna besar. Dari pengalaman Pak Ricky sebagai praktisi di bidang keamanan siber, bisa dijelaskan sebagai besar kejadian tersebut diakibatkan karena faktor apa?

Ricky Setiadi (RS): Risiko terhadap ancaman kebocoran data pada digital platform senantiasa dalam rentang yang sangat tinggi. Jika menggunakan matriks risiko, kebocoran terhadap data bisa dikategorikan ke dalam high to critical. Nilai ini akan didapatkan dari kombinasi dampak dari frekuensi (seberapa sering terjadi) dan skala (seberapa besar dampak) kejadian kebocoran data.

Ruang lingkup kebocoran data dalam skala besar biasanya dilakukan karena terdapatnya celah atau vulnerability dari sistem yang dibuat oleh sebuah organisasi. Celah disebabkan oleh berbagai macam faktor, namun secara umum menjadi tiga kelompok besar, yakni People, Process, dan Technology.

(1) People — Kebocoran data terjadi karena human error atau kelalaian manusia, bisa dari sisi pengembang atau pengguna. Pengguna kadang terlampau percaya kepada pengembang. Padahal keamanan data merupakan tanggung jawab bersama, sehingga keterlibatan dari sisi pengguna pun masih diperlukan. Beberapa penerapan keamanan dasar yang bisa dilakukan dari sisi pengguna antara lain adalah penggunaan password yang baik (kombinasi karakter password, menggunakan password yang berbeda untuk setiap platform, serta menggantinya secara berkala). Pengguna juga perlu memiliki kesadaran atau pengetahuan terhadap ancaman social engineering (seperti phishing).

Tidak dimungkiri banyak kejadian yang juga terjadi karena kesalahan pada proses pengembangan atau maintenance sebuah produk digital. Sebagai contoh, pengembang tidak menerapkan enkripsi untuk penggunaan variable username dan password, dan penyimpanan private key yang tidak aman, atau terdapatnya penggunaan account default untuk setiap sistem yang digunakan. Contoh lainnya adalah kelalaian dalam melakukan maintenance seperti pengembang menggunakan sertifikat digital yang sudah kedaluwarsa, penggunaan database yang tidak terproteksi, hingga kelalaian dalam melakukan design system (tidak mengindahkan kaidah standard practice berdasarkan risiko dalam pembagian sistem yang bisa diakses secara publik dan sistem yang hanya bisa diakses oleh internal).

(2) Process — Eksploitasi terhadap business proses. Terkadang pelaku tindak kejahatan memanfaatkan kesalahan atau kelalaian proses yang dimiliki sebuah organisasi (logic flaw exploitation). Paradigma bahwa security adalah tameng atau sebagai pelindung terakhir sebuah produk, bisa menjadi salah satu faktor utama kebocoran data. Di Blibli, kami selalu berusaha menguji produk kami dari fase awal pengembangannya untuk menghindari serangan pada setiap tahapan. Ketidakhadiran pengujian terhadap sistem dalam proses pengembangan juga merupakan salah satu kesalahan yang memberikan dampak terhadap terjadinya kebocoran data.

Pengembang juga harus ingat untuk menerapkan proteksi pada perangkat keras. Beberapa kasus kebocoran data juga terjadi karena eksploitasi perangkat keras yang berisikan data pelanggan, contohnya seperti keamanan server atau hard disk yang menyimpan data secara offline.

Technology – Pelaku kejahatan menemukan celah dari teknologi yang diterapkan pengembang. Teknologi merupakan hasil dari sebuah pengembangan produk logika manusia. Melalui pendekatan logika yang berbeda (terbalik), banyak para pelaku tindakan kejahatan memanfaatkan celah ini untuk kemudian dijadikan sebagai pintu dalam pengambilan data-data dari sebuah organisasi. Sebagai salah satu contoh adalah adopsi protokol keamanan data TLS 1.0, pada tahun 1999 teknologi ini banyak dimanfaatkan untuk mendukung layanan transaksi online. Namun seiringnya waktu, ditemukan satu celah keamanan pada TLS 1.0 ini yang memungkinkan terjadinya “Man in The Middle” attack. Dengan adanya celah ini, pelaku dapat melakukan intercept terhadap transaksi yang dilakukan oleh korban atau targetnya.

Jika melihat kepada ketiga komponen di atas dan berdasarkan data perkembangan incident report yang dikeluarkan oleh berbagai macam penelitian (salah satunya adalah cyware.com), kecenderungan serangan dan kebocoran data saat ini banyak terjadi karena faktor People melalui social engineering. Social engineering seperti phishing, memudahkan pelaku untuk mengelabui targetnya. Pada saat yang bersamaan, phishing juga dijadikan sebagai media utama dalam menyebarkan malware. Kombinasi ini kemudian di-maintain oleh pelaku untuk sebagai serangan baru yang biasa disebut dengan Advanced Persistent Threat (APT) attack. Dengan APT attack, pelaku kemudian melakukan pengembangan dan eksploitasi data yang kemudian bisa dikomersialisasi/dijual.

Untuk itu, edukasi mengenai social engineering kepada semua pihak yang terlibat dalam sebuah proses bisnis menjadi salah satu prioritas untuk menjaga keamanan data, terutama data pelanggan. Blibli, sebagai pengembang dan penyedia jasa digital, secara aktif mengedukasi seluruh stakeholder hingga para pelanggan. Edukasi dan penyebaran informasi dilakukan secara berkala agar Blibli dapat melakukan kontrol pengamanan yang komprehensif.

DS: Ditinjau dari sisi pengembang, hal apa saja yang perlu menjadi perhatian sejak dini agar sistem senantiasa mengakomodasi keamanan data dan privasi pelanggan? Faktor-faktor apa saja yang berkaitan erat dengan keamanan dan privasi data pengguna?

RS: Keamanan data dan informasi menjadi tanggung jawab bersama. Pelanggan harus jeli guna membatasi informasi yang diberikan ke penyedia jasa digital dan memahami risiko jika informasi yang diminta terlalu sensitif dan tidak berhubungan dengan jasa.

Keterbatasan pemahaman akan keamanan data ini lah yang membuat keterlibatan tim Security di setiap fase pengembangan sangatlah penting. Tim Security dapat meminimalkan terjadinya gangguan terhadap data pelanggan terutama data yang bersifat privacy atau rahasia (personally identifiable information atau PII). Pengamanan tidak hanya sebatas dari faktor keamanan teknis saat produk digital siap dibuat, namun penerapan pengamanan bahkan harus dilakukan saat produk didesain sesuai dengan standar best practice.

Berikut adalah beberapa faktor keamanan yang perlu diperhatikan, terutama ketika melakukan pemrosesan data pribadi, yaitu:

Regulasi pemerintah. Pastikan bahwa semua aspek regulasi yang dikeluarkan oleh pemerintah setempat sudah dijadikan sebagai salah satu referensi utama dalam proses pengambilan, pemrosesan, pengiriman, serta penyimpanan data pelanggan. Hal ini menjadi penting karena setiap wilayah akan memiliki hukum dan regulasi yang berbeda-beda.
Kebijakan keamanan. Setiap pengembang saat ini harus memiliki sebuah payung yang digunakan dalam pengamanan data terutama data pelanggan. Payung ini biasanya dibentuk dalam sebuah Kebijakan Privasi. Dalam pembuatan kebijakan ini, pastikan dibuatkan dalam format sesederhana mungkin dan dalam Bahasa yang mudah dimengerti dengan tanpa melupakan aspek transparansi dan keamanan.
Pengukuran risiko. Pertimbangan lain dalam penjagaan dan pengamanan pada saat pengembangan aplikasi adalah melalui pendekatan terhadap pengukuran untuk setiap risiko. Ada beberapa manfaat yang bisa diambil pada saat penilaian risiko yang dilakukan. Selain melakukan identifikasi terhadap setiap potensi ancaman yang akan terjadi, penggunaan kontrol yang efektif juga dapat mengurangi beban biaya dalam proses mitigasi, mengingat setiap risiko akan memiliki bobot dan nilai serta kontrol yang berbeda. Tentunya dalam pengukuran risiko ini, setiap organisasi harus menerapkan atau memiliki kriteria penerimaan (acceptance level) dan rencana penanggulangannya (risk treatment plan parameter).
PII data collection. Dalam pengembangan sebuah platform pasti akan menggunakan minimal salah satu dari data pribadi. Sebagai contoh adalah data nama lengkap, alamat email, atau nomor telpon. Pengembang harus memperhitungkan dan mempertimbangkan secara matang sejauh mana desain produk akan mengolah data tersebut. Misalnya dalam proses registrasi, apakah platform yang kita kembangkan akan membutuhkan data-data lengkap seperti nama ibu kandung padahal platform yang dikembangkan bukan untuk layanan perbankan. Contoh lainnya apakah kita membutuhkan data dalam bentuk kartu identitas atau Credit Card pada saat pengembangan sebuah fitur promo. Atau yang paling sering ditemukan dalam pengembangan produk untuk smartphone, terkadang pengembang tidak benar-benar memperhatikan kebutuhan aplikasinya, sehingga ada beberapa aplikasi yang secara default dapat mengakses contact, galeri, kamera, dan lain sebagainya. Usahakan penggunaan data pribadi dilakukan sesuai dengan kebutuhan dan pada saat menggunakan data tersebut dipastikan bahwa kita sudah memiliki kontrol yang tepat untuk setiap data yang dikumpulkan.
Fitur dan proses keamanan. Saat ini fitur keamanan adalah salah satu faktor yang akan dipertimbangkan oleh pelanggan dan calon pelanggan. Penggunaan enkripsi (https dalam mode web atau enkripsi lain dalam pengiriman data) merupakan salah satu fitur keamanan yang dapat membantu dalam keamanan data pelanggan. Selain itu fitur two factor authentication atau recovery methods lainnya adalah pendekatan pengembangan lainnya yang dapat digunakan sebagai daya tarik pelanggan dalam pengamanan data.

Selain itu dalam proses internal, pastikan terdapat aturan yang tegas dalam memberikan hak akses kepada setiap stakeholder yang terlibat. Segregation of duties atau pemisahan tugas menjadi pendekatan untuk mencegah ancaman dari dalam. Klasifikasi data merupakan pendekatan lain yang bisa dilakukan di dalam internal business process untuk menghindari terjadinya data PII terekspos keluar.

DS: Di masa pandemi ini tiba-tiba platform online groceries melonjak transaksinya. Maka startup perlu melakukan scale-up teknologi dari berbagai aspek. Menurut Pak Ricky, di masa scale-up tersebut investasi apa yang perlu digelontorkan oleh bisnis untuk menunjang keamanan sistem?

RS: Bagi kami, salah satu investasi terpenting adalah pada People dan Process. Dalam perspektif keamanan informasi, pada dasarnya setiap sistem dan teknologi adalah alat penunjang bisnis yang di dalamnya senantiasa mengandung kerentanan. Investasi pada People dan Process akan mengubah pola pikir dan kultur pada bisnis. Kedua investasi inilah yang kami coba terapkan di Blibli.

Perubahan pola pikir atau mindset memiliki sifat edukasi ke dalam dan ke luar. Seperti yang telah dijelaskan sebelumnya, organisasi juga harus terus menginformasikan bahwa keamanan data dan informasi pelanggan adalah merupakan tanggung jawab bersama dengan cakupan yang sesuai dengan porsinya masing-masing.

Prioritas lainnya adalah perubahan kultur terhadap risiko. Kultur pada sebuah bisnis dimulai dari proses implementasi, adopsi, hingga akuisisi teknologi. Jika proses ini dilakukan dengan efektif dan efisien, perusahaan dapat menurunkan profil risiko serta menerapkan kontrol pada organisasi. Organisasi pun dapat mempercepat perkembangan bisnis karena sudah dapat menentukan kontrol keamanan yang tepat dari surface attack pada saat melakukan scale-up.

DS: Ketika melakukan pengembangan, kadang engineer menemui kebimbangan. Di satu sisi, aplikasi harus didesain semulus dan secepat mungkin, dengan UX yang sangat sederhana. Di lain sisi, faktor keamanan harus menjadi perhatian. Menyebabkan beberapa pengembang mengacuhkan opsi penambahan keamanan tambahan dalam sistem. Bagaimana Pak Ricky menanggapi situasi tersebut?

RS: Permasalahan ini adalah permasalahan klasik antara tim pengembang dengan security. Beberapa startup masih menggunakan konsep konvensional dalam melakukan balancing atau penyeimbangan pada saat melakukan pengembangan aplikasi. Sehingga masalah klasik ini senantiasa terjadi dan berulang. Dalam menghadapi ini, sebenarnya kita bisa melakukan adopsi pendekatan Shifting Left. Berikut adalah penjelasan mengenai pendekatan konvensional dan Shifting Left.

Konvensional:

Jika melihat kepada beberapa tahun ke belakang, proses pengembangan sebuah aplikasi senantiasa akan menuliskan semua permintaan pada bagian awal pengembangan. Proses testing, termasuk security testing, akan dilakukan pada akhir pengembangan. Satu sisi, tahapan-tahapan ini akan menghasilkan sebuah aplikasi yang matang, namun di sisi lain akan memberikan dampak yang cukup serius pada saat terjadinya penemuan defect hasil testing yang banyak dan cukup kritis. Proses perbaikan terhadap hasil dari testing akan membutuhkan biaya tambahan baik untuk desain maupun implementasinya.

Metode ini sangat tidak efektif untuk diaplikasikan oleh organisasi startup yang senantiasa mengandalkan kepada jumlah release yang cepat. Adopsi pendekatan yang lebih agile dan shifting left bisa dilakukan untuk setiap organisasi startup dalam menghasilkan produk yang cepat tanpa meninggalkan aspek keamanan.

Shifting Left:

Metode konvensional menerapkan testing hanya di tahapan akhir (Testing and Verification). Pendekatan Shifting Left menerapkan proses pengujian mulai dari fase awal yaitu “Requirement”. Pada fase ini, Requirement tidak hanya akan melibatkan kebutuhan pelanggan dari sisi produk, bisnis, dan user experience, namun juga memasukan unsur keamanan sebagai salah satu parameter. Blibli pun telah menerapkan metode ini dalam proses pengembangan produk digitalnya.

Shifting left akan membentuk paradigma untuk melakukan pengujian semua aspek (test everything), pengujian yang dilakukan kapan pun (test everytime), pengujian yang lebih awal (test earlier), pengujian secara berkelanjutan (test continuously), dan melibatkan pihak penguji dalam setiap tahap. Tim pengembang dan security dapat berkerja sama untuk melakukan tindakan preventif daripada detective.

Metode dan pendekatan ini telah kami terapkan di Blibli sebelum kami meluncurkan produk IT. Dengan adopsi ini, proses deteksi terhadap bugs atau defect menjadi lebih cepat, meningkatkan efektifitas dari sisi waktu pengembangan dan biaya, serta meningkatkan kemudahan dan kualitas produk/aplikasi.

DS: Menurut Pak Ricky, apa urgensinya melakukan sertifikasi sistem, terkait dengan keamanan dan privasi data? Sertifikasi apa saja yang disarankan untuk diikuti?

RS: Sertifikasi akan menjadi sebuah competitive advantage. Karena melalui sertifikasi, sebuah organisasi telah menunjukkan kemampuan kinerja yang lebih tinggi dan sesuai dengan standar. Selain itu, sertifikasi juga menjadi sebuah comparative advantage dari sebuah organisasi. Proses bisnis akan menyesuaikan dengan standar sehingga mampu menghasilkan lebih banyak produk berkualitas yang efektif dan efisien serta mampu melakukan manajemen risiko.

Ada banyak sertifikasi yang bisa diterapkan untuk level organisasi dalam dunia keamanan informasi atau cybersecurity. Hal ini kembali lagi dengan kepentingan dan ranah bisnis yang dilakukan organisasi. Blibli, sebagai contoh, telah mendapatkan sertifikasi ISO/IEC 27001 tahun 2013 yang diakui secara global untuk pengelolaan sistem keamanan informasi. E-commerce merupakan bisnis yang mengolah data pelanggan, sehingga menjadi penting apabila bisnis serupa melakukan sertifikasi ini.

Proses sertifikasi juga perlu dilakukan oleh individu yang melakukan proses penerapan keamanan. Profesional yang menjalankan proses pengamanan akan senantiasa menjadi nilai tambah bagi perusahaan dalam menjalankan bisnisnya. Sertifikasi keamanan informasi ini banyak sekali untuk level individual seperti:

Managerial: CISSP, CCISO, CISM, CIPP, CIPM, CRISC, CGEIT, EISM
Technical: OSCP, OSCE, OSEE, OSWE, CEH, CSSLP, Security+ CHFI, ECIH, LPT Master, ECSA Master, CREST
Audit: CISA, ISO 2700 Lead Auditor, ISO2700 Internal Auditor

DS: Dalam tim teknis sebuah startup digital, idealnya tim keamanan ini terdiri dari bagian apa -saja?

RS: Startup digital akan senantiasa melakukan pengolahan terhadap data-data dalam bentuk digital. Fokus pengamanan sebuah organisasi harus lebih jauh, bukan hanya pada pengamanan data semata, namun jauh lebih besar ke dalam hasil pengolahan data tersebut – biasanya dikenal dengan informasi.

Kebutuhan tim teknis secara umum hanya membutuhkan tiga tim yaitu Yellow (architect), Red (attacker) dan Blue (defender).

Yellow: Pada saat melakukan pengembangan sebuah aplikasi, architecture review akan senantiasa dilakukan baik dari sisi aplikasi, infrastruktur, maupun security. Tim Security Architect akan melakukan review terhadap architecture dari aplikasi berdasarkan fungsi, obyektif, rencana pengujian, serta pemantauan terhadap risiko teknis melalui proses threat modelling.
Red: Selain tim Yellow, sebuah aplikasi perlu diuji secara internal sebelum merilisnya ke publik. Pengujian ini akan dilakukan oleh tim Red. Fungsi utama dari tim ini adalah melakukan simulasi penyerangan terhadap aplikasi, platform, dan infrastruktur. Skenarionya pun tidak hanya sebatas tes keamanan semata, namun melakukan berbagai simulasi hacking dan social engineering sebagai bagian dari pengujian yang dilakukan.
Blue: Selain simulasi penyerangan dijadikan sebagai metode dalam pengamanan aplikasi atau platform, metode lain yang dibutuhkan adalah metode defensif. Tim Blue akan bertanggung jawab terhadap implementasi skenario dan kontrol pertahanan dari serangan pelaku tindak kejahatan siber atau simulasi serangan dari Tim Red seperti implementasi web application firewall, firewall, logging, SIEM, incident handling, dan sejumlah tindakan defensif lainnya.

Dalam perkembangannya, dari ketiga tim ini akan membentuk tim tambahan hasil dari campuran ketiga warna tersebut. Blibli pun menerapkan campuran ini untuk memastikan tim IT dapat beroperasi dengan maksimal. Ketiga tim tambahan tersebut adalah:

Green Team (kombinasi dari Blue dengan Yellow): Tim ini akan banyak melakukan perbaikan dari security automation dan code yang dituliskan oleh developer (programmer).
Orange Team (kombinasi dari Yellow dengan Red): Tim ini akan membantu Tim Yellow untuk meningkatkan kapasitas tentang keamanan dalam bentuk awareness atau edukasi teknis keamanan.
Purple Team (kombinasi dari Red dan Blue): Tim ini adalah sebagai tim penyeimbang untuk meningkatkan kapasitas Tim Red dalam melakukan metode ofensif atau pertahanan serta melakukan evaluasi dan perbaikan dari Tim Blue dalam melakukan pertahanan.

DS: Sebagai studi kasus, bagaimana Blibli menerapkan standar keamanan dan privasi data? Fitur apa yang disajikan untuk mengantisipasi kegagalan sistem dari sisi konsumen dan dari sisi platform?

RS: Blibli berkomitman untuk mengutamakan kepuasan pelanggan. Salah satu caranya adalah memastikan bahwa keamanan data pelanggan terlindungi dan terkelola dengan baik.

Keamanan data pelanggan merupakan subset atau bagian dari proses pengendalian keamanan informasi, sehingga dalam pelaksanaannya kami melakukan tiga metode pengendalian yang meliputi:

Preventive: Pengendalian dengan pendekatan pencegahan ini kami lakukan dengan melakukan perubahan budaya paradigma keamanan informasi. Beberapa kegiatan yang kami lakukan termasuk kampanye yang meningkatkan awaraness pelanggan akan keamanan data, menerapkan kendali terhadap akses dan teknologi sesuai kebutuhan stakeholder, serta bekerja sama dengan pihak eksternal resmi seperti Badan Sandi dan Siber Negara, komunitas Keamanan Informasi untuk meningkatkan keamanan yang lebih luas.
Detective: Dalam proses ini, pengendalian lebih ditekankan kepada aspek deteksi dengan harapan terdapatnya perbaikan terhadap peningkatan keamanan informasi dan melihat tingkat efektivitas terhadap kontrol yang kita miliki. Analisis log, pengujian keamanan, dan laporan secara berkala merupakan langkah-langkah deteksi yang kami lakukan.
Corrective: Pengendalian ini bertujuan untuk memperbaiki kondisi tingkat keamanan pada saat sebuah insiden terjadi. Pembentukan tim Computer Incident Response Team (CIRT) dan Cyber Security Incident Response Team (CSIRT), serta proses pengelolaan manajemen insiden merupakan salah satu metode yang diterapkan oleh Blibli.

Kami akui bahwa saat ini tindakan kejahatan dalam dunia siber semakin hari semakin meningkat baik secara kualitas maupun kuantitas. Dalam pengamanannya kami menerapkan banyak kontrol keamanan baik dari sisi pelanggan maupun platform kami. Berikut ini adalah beberapa poin yang telah kami kembangkan demi menjaga keamanan data dan kenyamanan bertransaksi.

(1) Pengamanan terhadap sistem e-commerce.

Penggunaan 100% secure communication untuk layanan yang dapat diakses oleh publik. Selain memudahkan pelanggan dalam berbelanja, juga memastikan semua layanan transaksi tersebut berjalan dengan aman.

Implementasi Bot Detection System (BDS) untuk melakukan deteksi transaksi yang dilakukan oleh bot. Tindakan ini kami lakukan untuk memastikan pelanggan riil dapat menikmati promosi yang sifatnya terbatas (flash sale, kode voucher, dan lainnya), bukan bot yang disiapkan untuk melakukan eksploitasi.

Menjalankan Secure Software Development Lifecycle (SDLC). Dengan adopsi shifting left, Blibli sudah menjalankan proses SDLC yang aman sehingga kami dapat melakukan antisipasi tehadap kerentanan yang mungkin terjadi pada aplikasi.

Implementasi Security Operations Center (SOC) sehingga kami dapat melakukan deteksi terhadap traffic yang berpotensi menjadi ancaman. Selain itu dengan SOC ini Blibli dapat menjaga keamanan lingkungan digital perusahaan dari pihak yang tidak berwenang agar tidak dapat mengakses Data Pelanggan.

Pengembangan aplikasi dan produk senantiasa mengedepankan aspek pengelolaan risiko, di mana setiap risiko akan dikendalikan melalui kontrol yang sesuai.

(2) Perlindungan pelanggan.

Blibli telah menambahkan fitur Phone Number Verification dan Email Recovery sebagai salah satu kontrol untuk melindungi dan meningkatkan keamanan akun pelanggan.

Dalam menghadapi ancaman tindakan fraud, kami menerapkan fitur 3D Secure for credit card payment dan mengirimkan OTP kepada pelanggan saat bertransaksi dengan Blipay dan BCA OneKlik.

Menjalankan phishing site detection, fitur yang memberikan kemudahan kepada pelanggan Blibli dalam proteksi terhadap percobaan phishing.

End-to-end encryption untuk semua fitur yang mengandung informasi kritis dari pelanggan seperti password, credit card, dan informasi sensitif lainnya.

DS: Sebagai sebuah worst case scenario, ketika sistem mendapati isu data breach, apa yang seharusnya dilakukan oleh perusahaan — baik dari sisi tim pengembang, tim komunikasi ke pelanggan dll?

RS: Sebuah organisasi harus sedini mungkin menyiapkan mekanisme skenario terburuk dari sebuah serangan termasuk skenario kebocoran data. Tindakan pencegahan dan respons terhadap kebocoran data harus melibatkan semua pihak baik dari sisi tim IT, Security, komunikasi, legal, serta jajaran manajemen.

Setiap organisasi setidaknya harus memiliki prosedur baku dalam persiapan penanganan insiden. Setiap insiden yang terjadi tidak harus diinformasikan kepada pelanggan. Perusahaan juga harus melakukan kategorisasi insiden yang terjadi (apakah insiden termasuk ke dalam kategori aktivitas malicious code, penggunaan akses yang tidak normal, percobaan phishing spear atau insiden lain yang menyebabkan data terekspos).

Selain kategori tersebut di atas, tim incident handling harus menganalisis dampak dari kejadian tersebut. Penggunaan matriks yang diturunkan dari matriks risiko akan membantu tim melakukan perhitungan dengan lebih tepat dan cepat. Analisis ini perlu juga ditunjang dengan proses validasi dan klasifikasi dari insiden tersebut. Apakah insiden ini benar-benar valid atau hanya sebatas false positive, apakah kejadian ini memiliki dampak yang sesuai dengan laporan pertama, serta data atau sistem apa saja yang terkena dampak dari insiden ini.

Setelah melakukan analisis dan klasifikasi, langkah berikutnya adalah menentukan prioritas baik dari jenis insiden maupun langkah kontrol untuk perbaikan yang sifatnya sementara supaya insiden ini tidak memberikan dampak yang lebih besar. Proses investigasi awal dengan melakukan analisis, validasi, klasifikasi, serta penentuan prioritas ini biasanya dikenal dengan Incident Triage. Incident Triage ini harus dilakukan dengan teliti dan matang, mengingat ini akan menjadi input utama untuk menentukan langkah selanjutnya.

Jika pada fase incident triage menghasilkan kesimpulan bahwa insiden terjadi, proses notifikasi harus secepatnya diberikan kepada setiap komponen organisasi yang terlibat. Notifikasi cepat ini harus melibatkan:

Tim Legal untuk melihat dari aspek regulasi dan hukum yang berlaku.
Tim IT untuk secepatnya berkoordinasi dalam melakukan penanganan awal dari insiden yang terjadi, termasuk tim infrastructure dan developer untuk melakukan perbaikan secepatnya.
Management representative untuk memberikan laporan terbaru dari status insiden serta meminta saran, rekomendasi, serta arahan untuk keputusan.
Tim Komunikasi untuk memberikan pernyataan resmi (baik secara reaktif atau proaktif) kepada publik mengenai kondisi insiden saat ini dan apakah insiden ini valid atau tidak valid.

Seiring dengan proses notifikasi tersebut, tim penanganan insiden harus secepatnya menjalankan proses containment. Fungsi dari proses ini adalah menghentikan laju dari dampak insiden tidak semakin meluas ke aset dan sistem lain. Tujuan lain containment adalah mengurangi kerugian atas dampak yang lebih besar dari insiden tersebut.

Tim penanganan insiden juga harus mampu melakukan pengumpulan bukti-bukti dari setiap insiden ini. Pengumpulan bukti ini menjadi bagian penting dalam pembuatan laporan dan menentukan proses forensic dari insiden tersebut. Hasil forensic ini akan menjelaskan detail informasi dari insiden tersebut seperti:

Metode penyerangan.
Jenis kerentanan yang digunakan untuk melakukan eksploitasi.
Kontrol keamanan yang mampu menahan serangan.
Jenis aplikasi atau sistem yang digunakan sebagai dormant host atau jalan masuk penyerang serta informasi detailnya.

Setelah ditemukan inti permasalahan, tim penanganan insiden secepatnya melakukan pembetulan pada kesalahan pemrograman atau patching terhadap sejumlah kerentanan yang ditemukan dan dijadikan sebagai jalan masuk dari insiden tersebut. Dalam penanganan insiden, melakukan patching ini biasa disebut dengan proses pemberantasan atau eradication process. Beberapa contoh lain dari proses ini adalah dengan penggantian perangkat yang malfungsi, mengubah konfigurasi baik dari perangkat infrastruktur, security maupun code dari developer, serta melakukan improvement (instalasi) baru untuk meningkatkan keamanan.

Langkah selanjutnya yang harus dilakukan oleh tim penanganan adalah melakukan pemulihan sistem, layanan, serta data yang terkena dampak dari insiden tersebut. Tim penanganan harus dapat memastikan bahwa semua layanan kembali normal.

Tim penanganan harus membuat laporan lengkap mengenai insiden dan melaporkannya ke pihak terkait. Selain manajemen perusahaan, tim dapat melaporkannya kepada pemerintah apabila insiden termasuk dalam kategori kritis dan berhubungan dengan pelanggan. Pada saat memberikan informasi kepada stakeholder, setidaknya ada beberapa poin yang harus dilakukan atau disampaikan:

Komunikasikan insiden ini dengan bahasa yang sederhana kepada stakeholder yang tepat.
Berikan informasi yang transparan, termasuk informasi tentang keterlibatan semua pihak dalam melakukan perencanaan persiapan insiden merupakan salah satu pendekatan terbaik. Informasikan juga bahwa kejadian ini di luar kontrol organisasi, mengingat organisasi sudah melakukan serangkaian kegiatan preventif.
Berikan informasi secara wajar dan akurat terkait dengan dampak dari insiden tersebut. Termasuk di dalamnya informasi tentang
Apa yang terjadi dengan data, semisal meski datanya terekspos tapi masih terlindungi oleh enkripsi.
Langkah atau tindakan yang harus dilakukan pelanggan jika proses penanganan masih dalam tahap investigasi atau perbaikan, seperti mengganti password semua akun digital dan pengecekan saldo (untuk platform finansial) secara reguler

Melakukan tindakan (incident response) terhadap kebocoran data merupakan sebuah tindakan kritis yang harus segera dilakukan. Namun demikian tindakan pencegahan merupakan kunci utama dalam melakukan reaksi dan respons terhadap kebocoran data tersebut.

DS: Terakhir, mungkin ada buku, online course atau sumber belajar lain yang dirasakan oleh Pak Ricky untuk dapat dipelajari penggiat startup terkait metodologi, konsep, hingga praktik keamanan dan privasi data?

RS: Saat ini banyak platform yang bisa digunakan untuk meningkatkan kapasitas dalam keamanan informasi baik untuk pelaku bisnis startup atau individual. Baik dari yang sifatnya free, freemium maupun premium baik dari sisi managerial maupun dari sisi teknis. Platform yang biasa kami gunakan adalah O’reilly, udemy, cybrary.it, hackerone, hackthebox, hacking-lab, pwnable, coursera, opensecurity training, heimdal security, san cyberaces, owasp, openSAMM project dan masih banyak lagi beberapa platform community yang bisa digunakan.

Di Blibli, kami senantiasa melakukan peningkatan kapasitas dari tim IT, salah satunya adalah melakukan edukasi terhadap pengembangan produk melalui secure coding training, seminar, dan internal sharing session secara periodik. Kami juga mengajak rekan-rekan IT di Blibli untuk bergabung dalam komunitas IT. Fungsi dari keikutsertaaan karyawan di komunitas adalah memperluas network serta mendapatkan update mengenai isu-isu terkini, baik yang terjadi di dalam maupun luar negeri.

[Founders Library] Membangun dan Mengembangkan Produk

Satu yang tak pernah akan selesai dari perjalanan startup adalah pengembangan produk. Untuk tetap menjaga kemampuan bersaing dengan kompetitor dan meningkatkan pengalaman pengguna produk harus senantiasa dikembangkan. Berdasarkan feedback dari pengguna ataupun berdasarkan hasil inovasi yang dipersiapkan.

Membangun sebuah produk membutuhkan. Bagaimana produk itu dirancang, dikembangkan, dan dijadwalkan adalah proses yang tidak mudah. DailySocial merangkum beberapa tips mengenai pengembangan produk ini. Mulai dari manajemen hingga pengembangan berkelanjutan. Berikut daftarnya:

Artikel

Video & Podcast

Pentingnya Validasi Ide Sebelum Mengembangkan Startup

Mereka yang antusias dengan kewirausahaan, terutama dalam bentuk startup, pasti pernah terbersit suatu ide bisnis. Namun yang namanya ide bisnis tetaplah sebuah ide, ia belum terukur dan belum tervalidasi.

Maka akan wajar apabila gagasan bisnis itu terbentur dengan sejumlah pertanyaan seperti: (1) Apakah ide tersebut sudah tepat sasaran? (2) Apakah semangat dan wawasan dalam gagasan itu sudah mencerminkan kebutuhan pasar? (3) Dan yang tak kalah penting, bagaimana mengukur kebutuhan pasar agar produk yang dihasilkan nanti bisa dipakai khalayak?

Founder & CEO KaryaKarsa Ario Tamat berbagi pengalamannya untuk menjawab pertanyaan-pertanyaan tersebut. Ario sudah bergelut di dunia startup sejak 2011 silam, ketika menciptakan Ohdio lalu mendirikan Wooz.in. Minat di bidang musik, pengalaman kerja di dunia teknologi dan keyakinan tak ada layanan serupa di saat itu membuat Ario cukup yakin bahwa produknya akan diterima pasar. Namun kenyataan membuktikan semua itu tidak cukup.

“Karena waktu itu berasumsi kami tahu industri musik, orang pasti mau pakai, dan belum ada di pasar. Tapi itu semua asumsi dan nyatanya tidak ada yang pakai,” cetus Ario.

Pengalaman pahit itu membawa bekal berharga bahwa tak semua gagasan bisnis, sebrilian apa pun menurut kita, bisa melahirkan produk yang dibutuhkan konsumen. Ada beberapa fase yang harus dilalui ide itu sebelum menjadi produk jadi yang andal.

Lean startup dapat menjadi metode yang dapat ditempuh karena ini sudah menjadi panduan umum bagi mereka yang ingin mendirikan startup. Ario menjabarkan metode ini berdasarkan pengalamannya dalam #SelasaStartup kali ini.

Fokus ke konsumen

Ario meringkas lean startup sebagai konsep pengembangan ide, sampai ide itu valid dan siap dilempar ke pasar. Hal yang digarisbawahi oleh Ario adalah fokus ke pertumbuhan konsumen alih-alih gagasan bisnis itu sendiri. Mengenali kebutuhan konsumen menjadi lebih penting ketimbang terpaku pada gagasan bisnis dalam hal ini.

Cara mengenal konsumen ini bisa bervariasi. Pilihannya bisa sesederhana menyebar kuesioner via Google Form atau wawancara langsung untuk menggali informasi lebih dalam. Fase ini penting karena kita dapat mengenal lebih dekat apa yang konsumen butuhkan, apa yang mereka keluhkan dari layanan yang ada, sehingga mengikis kadar bias dari ide bisnis yang kita kantongi.

Ario mencontohkan bahaya dari bias ini jika ada produk pengenalan wajah dan sudah meluncur ke publik namun ternyata di beberapa orang dengan fisik tertentu ia tak berfungsi. Perkara itu semata-mata muncul karena dalam pembuatan teknologinya, sampel wajah yang dipakai hanya berasal dari rupa fisik ras Kaukasian.

“Ketika kalian punya ide itu sebenarnya asumsi. Sejauh kalian belum bisa punya data untuk membuktikan itu benar, itu asumsi,” tegas Ario.

Harus berbeda

Jika informasi yang dibutuhkan dari konsumen sudah terkumpul maka bentuk ide bisnis bisa dikatakan lebih matang. Tapi bagaimana kalau sudah ada layanan komersial dengan ide bisnis tersebut? Ario menjawabnya dengan mencari celah masalah di layanan yang sudah ada itu.

Hampir semua layanan memiliki persoalannya sendiri dengan kadar yang belum tentu serupa. Peran kita adalah mencari tahu apa masalahnya dan berapa besar kadarnya itu. Tanpa menawarkan faktor pembeda maka hampir mustahil bagi pemilik ide bisnis dapat bersaing.

“Kalau enggak ada masalah kalian enggak punya kesempatan untuk masuk. Kalau sekadar pengen bikin aja, ya enggak apa-apa, tapi apa yang bisa bikin bisnis kalian lebih unggul. Problem banyak kok di dunia,” gurau Ario.

Berani bereksperimen

Sebuah eksperimen dapat terjadi secara disengaja maupun tidak. Sebuah proyek buku digital hasil kumpulan artikel seputar musik dan teknologi buatan Ario adalah buktinya. Ide Karyakarsa sendiri sudah dimiliki Ario sejak dua tahun sebelum platform itu meluncur ke khalayak.

Ide itu berangkat dari pencarian metode alternatif bagi musisi untuk mendapat pemasukan selain dari metode konvensional. Buku yang ia tulis sendiri ternyata menjadi pemicu utama yang meyakinkan Ario bahwa ide bisnis KaryaKarsa dapat berjalan.

Buku bertajuk Musik, Bisnis, dan Teknologi di Indonesia itu berhasil menarik ratusan pembaca dan lebih jauh lagi dalam sepekan ada 10 orang yang bisa rela memberikan uang untuk membaca bukunya. Ario mendorong eksperimennya lebih jauh dengan membuat platform yang bisa dipakai bagi para kreator konten dan memungkinkan penggemar karya mereka menyisihkan uangnya sebagai bentuk apresiasi yang saat ini berwujud KaryaKarsa dengan total pemasukan lebih dari Rp1 miliar.

“Di saat itu asumsinya adalah gue aja yang nobody bisa, masa’ sih orang yang punya follower banyak, selebriti, atau orang terkenal enggak?” imbuhnya.

Memahami Lebih Dalam “Design Sprint”, Teknik Kerja Cepat Masa Kini

Kata agile semakin dikenal sejak startup digital menggeliat. Namun kata ini mengalami difusi semantik karena pemahaman yang kurang. Celakanya, sering di-abuse untuk tujuan yang salah oleh kalangan tertentu. Agile sebetulnya bisa diterapkan dengan utuh apabila menggunakan teknik, dikenal dengan design sprint.

Teknik kerja ini ditemukan oleh Jake Knapp, Design Partner GV (dulu bernama Google Ventures). Sejak itu, gerilya Google, lalu diikuti perusahaan teknologi besar lainnya, sukses dalam meluncurkan produk yang bisa diterima masyarakat luas dalam waktu yang relatif singkat.

Kepada DailySocial, Head of Department Digital Growth Asset Telkomsel Wisnu Ario Supadmono memaparkan design sprint adalah suatu cara teknik kerja untuk menjawab pertanyaan kritikal dalam bisnis dan inovasi melalui desain, prototyping dan menguji ide ke pengguna agar langsung mendapatkan masukan.

Tujuan melakukan design sprint adalah mempercepat proses kerja saat menemukan ideation yang biasa dipakai dalam metode kerja tradisional. Inilah penyebab dari cara kerja tradisional, membuat pengembangan produk di berjalan lambat, sebab harus dipelajari. Tidak bisa langsung di tes ke pengguna.

Design sprint memungkinkan hal tersebut. Produk bisa langsung di coba oleh pengguna dalam jumlah terbatas, melalui prototipe yang menyerupai produk asli. Setelah diuji, produk akan dapat masukan dan bisa langsung segera diperbaiki karena sudah menemukan titik masalahnya ada di mana. Di sini istilah “success fast or fail fast” dapat langsung dibuktikan.

“Inilah mengapa Google bisa bergerak cepat dan produknya bisa langsung diterima di masyarakat, sebab mereka pakai teknik ini,” kata Wisnu.

Perusahaan yang menerapkan cara kerja tradisional biasanya butuh waktu berbulan-bulan untuk mengembangkan sebuah produk dan mengujinya ke pasar. Kisarannya antara enam bulan sampai setahun, tergantung kompleksitasnya. Akan tetapi, jika menerapkan design sprint, perusahaan hanya butuh maksimal satu minggu untuk langsung tes ke pasar.

Tentunya bagi perusahaan ini sangat efisien karena tidak perlu mengeluarkan ongkos pengembangan lebih. Bahkan dalam kurun waktu tersebut, prototipe (menyerupai produk asli) bisa langsung diuji ke pengguna guna mengetahui apakah mereka suka atau tidak.

Syarat design sprint

Sebelum terjun ke design sprint, ada persyaratan yang harus dipahami. Perlu diikuti antara tujuh sampai sembilan orang dalam satu tim, dengan latar belakang yang berbeda-beda, memerlukan designer, engineer, pebisnis, decision maker dan terpenting dipandu oleh fasilitator (sprint master).

Sprint master adalah sosok yang memfasilitasi supaya proses design sprint itu terjadi. Ia pulalah yang menentukan butuh waktu berapa lama design sprint dilakukan karena melihat dari kebutuhan berbagai stakeholder. Sprint master juga dituntut punya pengalaman mengenai user experience yang paham saat memberikan suatu produk sebaiknya harus seperti apa. Ia juga perlu memiliki sertifikasi resmi.

Setidaknya, anggota yang masuk dalam design sprint adalah orang-orang yang sudah terlibat dalam proyek sebelumnya atau punya pemahaman yang sama.

“Sprint master yang disertifikasi dengan yang tidak ada perbedaannya. Sebaiknya perlu disertifikasi karena dia akan running dari nol sampai ada prototipe, dari ide besar sampai bisa diujicoba ke pelanggan. Itu semua di-running dalam design sprint dan difasilitasi oleh sprint master.”

Wisnu sendiri sudah mengantongi sertifikat sprint master dari Sprint Creator di Berlin, Jerman.

Rangkaian fase design sprint

Ada lima tahap yang terjadi dalam satu siklus design sprint. Pada hari pertama, masuk ke fase perkenalan (introducing). Dalam hari tersebut, semua orang harus berkenalan dan menyepakati bersama apa gol ingin yang didapat dari design sprint ini.

Masalah besar apa yang mau mereka selesaikan? Bila sudah, lalu apa hambatan yang akan timbul apabila mengambil gol tersebut. Itu semua dirumuskan secara bersama-sama agar semua orang ada di jalur yang sama.

Selanjutnya, masuk ke fase pemahaman (understanding) ditandai dengan mengundang orang ahli yang mampu menjelaskan seputar masalah besar yang ingin dipecahkan. Dari sini diharapkan semua anggota sudah memiliki pemahaman yang sama soal gol, tantangan, memasang KPI dan target kapan produk dirilis.

Masuk ke hari kedua, disebut fase ideation. Di sini semua anggota wajib mengeluarkan seluruh ide, mulai dari ide kecil sampai besar. Menariknya, ada teknik bagaimana mengeluarkan banyak 70 ide dalam waktu satu jam, disebut Crazy 8.

Artinya, tiap orang memberikan delapan ide dalam 15 menit atau paling lama satu jam. Misalnya ada delapan anggota dalam satu tim, maka dalam kurun waktu satu jam akan mengumpulkan 64 ide.

“Dari semua ide yang keluar akan timbul ide besarnya seperti apa. Semua orang harus kasih ide sebab tidak ada ide yang tidak baik.”

Hari ketiga berlanjut dengan fase pemilihan ide yang didapat kemarin. Semua anggota boleh memilih ide asalkan sesuai dengan gol yang sudah disepakati bersama. Dari sini akan keluar ide besar yang akan dikerjakan.

Bila diperhatikan, tahap munculnya ideation ini justru tidak dilakukan di hari pertama. Di sinilah perbedaaan yang paling mencolok antara design sprint dengan cara kerja tradisional. Jika ideation dilakukan pertama kali pertemuan, justru akan menjadi liar karena pemahaman gol yang berbeda.

Design sprint vs traditional work / SprintCube

“Kalau ideation duluan, jadinya [ide yang keluar] liar karena belum satu pemahaman. Sementara design sprint, sebelum dimulai, semuanya harus sama-sama memahami apa yang akan dibuat. Semua orang dalam tim harus memiliki pemahaman yang sama.”

Berikutnya di hari keempat, adalah fase prototyping membuat mock up produk yang akan diujicoba ke pengguna. Apabila prototipe yang dibuat adalah aplikasi, ada tools yang bisa dimanfaatkan dan bisa selesai dalam satu hari. Di antaranya memakai Marvel, Figma dan Principle.

Akhirnya masuk ke hari terakhir, hari kelima. Inilah saatnya mock up produk diujicoba langsung ke pengguna dalam jumlah terbatas. Ketika ada masukan, entah itu positif atau negatif, bisa langsung diperbaiki pada saat itu juga.

Dalam rangkaian lima hari, tim sudah dapat mendapat pembelajaran, sudah punya prototipe, ide berikutnya yang bisa dilakukan, dapat tahu di titik mana konsumen tidak suka atau suka dan sebagainya. Seluruh informasi ini tidak bisa didapat sama sekali ketika memakai cara tradisional.

Design sprint 2.0

Dalam upgrade dari design sprint ini, tidak ada perbedaan mencolok. Hanya waktu penyelesaian design sprint yang lebih singkat menjadi empat dari. Tidak ada fase yang dihilangkan, tapi justru dirapatkan tanpa mengurangi kualitasnya.

Fase ideation dan pemilihan ide digabung menjadi satu hari. Sementara di design sprint 1.0, keduanya dipisah ke dua hari yang berbeda. Sisanya tidak ada yang berbeda. Istilah 2.0 ini adalah resmi yang dipakai secara global. Sementara apabila ditemukan versi di atas itu, hanya sebatas modifikasi secara personal saja.

Apakah ada pertanda kapan versi 2.0 sebaiknya ini dilakukan? Tergantung dari kesiapan waktu dari anggota tim. Pun, bagaimana sprint master mengatur alokasi waktu, bila sudah sertifikasi ini akan lebih mudah karena sudah punya pengalaman sehingga lebih fleksibel.

“Saya sendiri pernah jalanin design sprint dari 1 hari, 2 hari, 4 hari, bahkan ada yang dua jam. Kalau sprint master sudah pengalaman, dia akan lihat kuncinya dulu, apa yang bisa dirombak dan mengestimasi waktunya.”

Serba serbi manfaat design sprint

1. Menumbuhkan budaya inovasi

Kegiatan design sprint di Telkomsel / Wisnu Ario Supadmono

Banyak perusahaan yang mencari inovasi dan bagaimana menyediakan struktur dan alat yang akan memungkinkan tim menemukan hal besar berikutnya. Ini semua dapat difasilitasi sepenuhnya oleh design sprint. Sebagian besar karena kesederhanaannya dan hasil kerja yang berdampak pada kualitas tim.

Selain itu, membantu Anda mengetahui kapasitas anggota tim karena di dalam tim akan dipacu untuk mengeluarkan ide dengan tepat dan terarah.

2. Bisa diterapkan untuk semua kebutuhan

Design sprint dapat diterapkan oleh perusahaan konvensional, tidak hanya melulu buat perusahaan atau startup digital saja yang ingin berinovasi. Bahkan di luar inovasi sekalipun misalnya untuk perumusan kebijakan hukum dan beriklan.

Wisnu memberi contoh salah satu produk dari Telkomsel yang dibuat dengan design sprint adalah aplikasi Loopkita dan fitur daily check-in di dalam aplikasi MyTelkomsel.

3. Visibilitas dan alignment

Saat design sprint berlangsung, para anggota tim dengan keahlian dan latar belakang berbeda, duduk bersama menghadapi tantangan hingga memecah batas hierarki di organisasi perusahaan. Kebersamaan itu dimulai dari hari pertama, saat menggali wawasan pelanggan dan penelitian mendalam.

Dengan membongkar semua informasi secara kolektif, seluruh tim akan mempunyai visibilitas ke titik data yang sama. Wawasan tersebut sangat penting untuk menyelaraskan tim pada gol bersama.

4. Minim risiko, mendapat masukan pengguna sebelum terlambat

Design sprint membantu perusahaan membangun produk yang benar-benar digunakan orang. Dalam waktu singkat, dia akan mengarahkan tim ke pembuatan prototipe yang dapat diuji ke pengguna dan langsung mendapat masukan.

Kalau respons tidak memuaskan, tim masih punya banyak waktu untuk mengambil keputusan lebih tepat lewat sprint selanjutnya. Bila pada akhirnya memutuskan untuk ditutup, juga tidak ada ruginya karena perusahaan belum mengeluarkan ongkos yang besar untuk pengembangan.

Jika harga dari potensi kegagalan atau keberhasilan tinggi, mungkin ada baiknya bereksperimen dengan design sprint. Hipotesis Anda akan divalidasi, sehingga pada akhirnya Anda dan tim akan tahu harus berputar ke arah mana.

5. Tidak perlu tools mahal

Perlu diketahui, saat melakukan design sprint, peralatan yang dibutuhkan cukup simpel. Cukup menyiapkan kertas tempel warna warni, pulpen sharpie, kertas A4, gunting, sticker berbentuk dot, selotip dan sebagainya. Seluruhnya dibutuhkan untuk hari pertama sampai hari ketiga.

Apabila produk yang ingin dibuat berbentuk aplikasi, baru memakai laptop dengan tools prototipe yang mudah diakses. Tentunya, ini akan membuat ongkos perusahaan dalam pengembangan produk jauh lebih efisien.

6. Waktu kerja delapan jam sehari

Jangan dibayangkan bila masuk ke dalam tim design sprint harus kerja 24 jam setiap hari atau seperti ikut hackathon. Sangat jauh dari itu karena ini mengutamakan kolaborasi tim. Justru jam kerjanya tergolong normal, delapan jam setiap harinya. Meski singkat, pekerjaan ini sangat menguras otak.

Secara ilmiah, delapan jam adalah waktu maksimal otak dapat bekerja. Maka dari itu, anggota butuh diberi nutrisi makanan yang sehat agar tetap bugar. Tak heran, bila di kantor Google disediakan kantin karyawan dengan menu makanan sehat.

7. Tips: Perhatikan sweet spot

Hal ini dilakukan sebelum design sprint dimulai pada hari pertama. Sweet spot merupakan posisi untuk menjaga agar anggota tidak kebablasan membuat ide tidak terlalu menitikberatkan pada salah satu pihak saja. Bila ini terjadi, maka rentan akan ditolak mentah-mentah oleh perusahaan.

Oleh karenanya, sprint master harus memikirkan irisan dari apa yang diinginkan pelanggan, apa yang diinginkan perusahaan, dan sejauh mana kemampuan teknologi untuk menyanggupinya. Ketika ketemu benang merahnya, maka gol yang didapat akan jauh lebih realistis.

Hasil dari design print pada akhirnya bisa diimplementasikan, bukan hanya sebagai dokumen saja.

TipTech #3: Miliki Sistem Berisiko Tinggi, Begini Cara Tim Pengembang Kredivo Melakukan Pengujian Aplikasi

TipTech adalah rubrik baru DailySocial yang membahas berbagai kiat dalam pengembangan produk atau aplikasi startup. Setelah sebelumnya membahas tentang arsitektur aplikasi yang scalable, kali ini kami berkesempatan untuk berbincang dengan Co-Founder & CTO Kredivo Alie Tan mengupas mengenai pengujian produk aplikasi secara terukur.

Seperti diketahui, Kredivo adalah perusahaan teknologi yang memberikan kemudahan masyarakat untuk melakukan kredit dalam pembelian barang di e-commerce. Sebagai platform finansial yang tergolong dalam sistem berisiko tinggi, tim pengembang harus memperhatikan banyak aspek, termasuk terpenting mengenai standar keamanan dan kepatuhan. Maka di setiap fitur atau layanan yang digulirkan harus melalui tahapan pengujian yang ketat.

Tan bercerita, untuk melakukan pengujian perangkat lunak (software testing) ada 8 langkah yang harus dilakukan:

Test Planning; mengidentifikasi kegiatan pengujian dan sumber daya yang dibutuhkan, termasuk menemukan metode serta metrik pengukuran yang tepat.
Test Design and Specification; pembuatan dokumen yang berisi informasi dan parameter yang diperlukan sebagai panduan prosedur pengujian perangkat lunak agar lebih efektif.
Test Setup; sebuah metode untuk membuat data pengujian secara terstruktur. Penerapannya di tingkat pemrograman, dengan menambahkan kelas-kelas tertentu untuk dimanfaatkan ke dalam proses pengujian.
Test Operation and Execution; pengujian untuk memastikan kepatuhan sistem dan penggunaan komponen yang sesuai dengan standar.
Test Result Analysis and Bug Reporting; menganalisis temuan-temuan yang didapat pada proses pengujian dan membuat pelaporan hasil celah yang terdeteksi.
Test Management and Measurement; penggunaan perangkat lunak baik otomatis maupun manual untuk mengelola proses pengujian. Tujuan lainnya agar prosesnya dapat terukur dengan jelas, baik dari indikasi kuantitatif, kapasitas, dimensi, jumlah dan sebagainya.
Test Automation; penggunaan perangkat lunak terpisah untuk mengontrol pelaksanaan pengujian dan membandingkan hasilnya secara aktual. Perangkat pengujian tersebut dapat mengautomasi beberapa tugas berulang dan melakukan pengujian tambahan yang sulit dilakukan secara manual.
Test Configuration Management; proses menentukan dengan jelas item yang membentuk perangkat lunak atau sistem, termasuk kode, skrip pengujian, perangkat lunak pihak ketiga, perangkat keras, data dan dokumentasi pengembangan dan pengujian. Juga tentang memastikan bahwa item tersebut dikelola dengan hati-hati, teliti, dan penuh perhatian selama seluruh proyek dan siklus hidup produk.

Project Manager, Developer, dan Tester idealnya terlibat dalam prosesnya. Project Manager terlibat untuk memahami tujuan utama dari sebuah fitur, juga memastikan setiap pihak yang terlibat dapat saling berkolaborasi untuk mencapai hasil yang diharapkan.

Kredivo adopsi pendekatan agile

Dengan kondisi yang ada, Tan mengatakan bahwa timnya saat ini mengadopsi agile testing. Metodologi itu menurutnya memungkinkan terjadinya sirkulasi yang lebih cepat — dalam artian workflow dalam pengembangan. Sehingga proses pengujian tidak harus menunggu semua fitur rampung dikerjakan oleh developer. Yang tak kalah penting, pendekatan ini memungkinkan timnya untuk mengidentifikasi bug secara lebih cepat.

Guna mendukung kegiatan pengujian, Kredivo menggunakan berbagai macam alat. Tan menyebutkan, “Tools yang sering digunakan untuk membantu kegiatan pengujian produk digital yaitu Appium, Selenium, Postman, Testng, Jmeter, Gradle, Cucumber, Restassured, Burp suite, Zap proxy, dan ChromeDev tools.”

Tim Kredivo juga miliki standardisasi yang ketat untuk seorang software tester atau quality assurance engineer. Beberapa karakteristik yang diperhatikan adalah selalu memperhatikan hal detail; berorientasi pada klien, bisnis, dan kualitas; memiliki pengalaman produk yang kuat; mampu bekerja secara paralel (multitasiking); memiliki kemampuan identifikasi dan observasi yang baik; hingga kualitas komunikasi yang mumpuni.

Co-Founder & CTO Kredivo Alie Tan / Kredivo

Yang sering luput saat pengujian produk

Dengan pengalamannya lebih dari 4 tahun menjadi CTO, Tan mencatat ada beberapa hal yang sering luput saat proses pengujian produk teknologi. Poin pertama non-functional case, yakni terkait kinerja dan keamanan sistem. Kedua terkait negative test, yang berdampak pada buruknya pengalaman pengguna aplikasi.

Namun Tan turut menjelaskan, bahwa hal tersebut dapat diantisipasi. Pasalnya celah keamanan seperti non-functional dalam diprediksi dan ditemukan dengan pengujian berulang. Kemudian terkait negative test, penguji dapat menulis dan menguji semua fungsional, lalu membuat laporan untuk perbaikan pengalaman pengguna.

Rekomendasi bacaan

Terkait proses pengujian, Tan punya beberapa rekomendasi bacaan, sebagai berikut:

Buku:

“The Art of Software Testing”, oleh Glenford Myers
“Agile Testing : A Practical Guide for Testers and Agile Teams”, oleh Lisa Crispin dan Janet Gregory

Blog:

Kursus Online :