Secure by Design Itu Bukan Tugas Tim Security Doang!

"Nanti aja mikirin security-nya, kalau udah mau production."

Kebiasaan ini masih sering kejadian. Terutama di tim kecil atau proyek yang kejar deadline.

Padahal... security bukan fitur tambahan. Tapi prinsip desain.

Kok Bisa Security Jadi Urusan Belakangan?

• Gak ada orang security di tim
• Fokus MVP dulu, urusan aman belakangan
• Asumsi “kalau frontend aman, backend aman”
• Baru sadar pentingnya pas abis di-pentest 😬

Dan akhirnya? Security dianggap “urusan tim lain.”

Mindset Secure by Design Itu Gimana?

“Setiap keputusan desain = potensi bikin sistem jadi aman atau rawan.”

Mulai dari hal kecil:

• Apakah fitur ini butuh autentikasi?
• Apakah endpoint ini perlu rate limit?
• Data ini sensitif gak? Disimpan di mana?
• Bisa gak orang akses langsung via Postman?

Kalau kamu mikir ini sejak awal, kamu udah secure by design.

Contoh Nyata: Form Registrasi

Tanpa security mindset:

• Form input langsung dilempar ke DB
• Email gak dicek formatnya
• Password disimpan plaintext

Dengan secure by design:

• Validasi input & escape character
• Password di-hash pakai bcrypt
• Field dibatasi panjang + format
• Logging untuk deteksi brute force

Gak butuh security engineer buat mikir kayak gitu. Cuma butuh sadar dari awal.

Way of Working: Biar Gak Lupa Security di Fase Desain

• ✅ Masukin checklist security ke setiap user story
• ✅ Biasain threat modeling ringan pas design meeting
• ✅ Kasih label “risk” di fitur yang ada data sensitif
• ✅ Dokumentasikan asumsi keamanan (biar gak cuma di kepala dev)
• ✅ Review pull request dengan mindset: “bisa diexploit gak ya?”

Penutup

Kalau developer cuma mikirin security pas pentest, itu udah telat.

Security yang bagus itu dirancang, bukan ditempelin. Dan secure by design = kerja bareng semua tim, bukan lempar tanggung jawab.

Yuk mulai dari sekarang: jangan cuma bikin fitur yang keren, tapi juga yang aman. 😎