Di suatu tempat di dalam sebuah bank besar, sebuah tim insinyur baru saja menyelesaikan penerjemahan dua juta baris COBOL ke Java — sebuah migrasi yang memakan waktu empat belas bulan, lulus setiap rangkaian pengujian, dan diluncurkan tepat waktu, namun dalam minggu pertama tim keamanan menemukan bahwa nomor kartu kredit, nomor Jaminan Sosial, dan saldo rekening mengalir tanpa perlindungan melalui endpoint API, pipeline Kafka, dan data lake analitik yang tidak pernah terekspos oleh arsitektur mainframe asli.
Modernisasi berhasil, tetapi perlindungan data tidak, dan skenario ini terjadi jauh lebih sering daripada yang mau diakui oleh sebagian besar perusahaan.
Pengeluaran untuk modernisasi mainframe terus meningkat, namun pembahasan tetap sangat berfokus pada penerjemahan kode, infrastruktur cloud, dan pengurangan biaya, sementara keamanan data — satu-satunya faktor yang menentukan apakah proyek modernisasi menciptakan risiko atau menghilangkannya — jarang mendapat perhatian yang seharusnya hingga sesuatu rusak.
Masalah Perimeter yang Diciptakan oleh Modernisasi
Mainframe warisan tidak pernah dirancang untuk aman dalam arti modern; mainframe dirancang untuk tidak dapat dijangkau. Lingkungan IBM z/OS mengandalkan isolasi fisik, kontrol akses RACF, dan kekaburan arsitektur mereka yang murni untuk melindungi data sensitif, dan selama beberapa dekade, data tetap berada di dalam perimeter karena tidak ada tempat lain bagi data tersebut untuk pergi.
Modernisasi secara fundamental mengubah persamaan ini, karena pada saat sebuah organisasi memindahkan aplikasi COBOL ke cloud atau mereplikasi tabel DB2 ke dalam gudang data, data sensitif mulai melintasi batas kepercayaan yang sebelumnya tidak pernah ada, dan setiap titik integrasi baru — baik itu panggilan API, pipeline data, maupun platform analitik hilir — menjadi permukaan serangan yang tidak pernah dibangun oleh model keamanan asli untuk dilindungi.
Tantangan ini diperparah oleh usia sistem-sistem ini — kode COBOL terikat erat dengan logika bisnis yang tidak didokumentasikan sepenuhnya oleh siapa pun, para pengembang yang menulisnya sedang pensiun, dan hampir setiap perusahaan yang menjalankan mainframe memiliki kebijakan yang sama: jangan memasang agen, jangan memodifikasi kode produksi, jangan mengambil risiko mengganggu beban kerja yang memproses transaksi yang sangat penting.
Mengapa Penerjemahan Kode Saja Tidak Cukup
Alat penerjemahan kode berbantuan AI telah mempercepat proses migrasi — apa yang dulunya membutuhkan waktu bertahun-tahun kini dapat diselesaikan dalam beberapa bulan — namun menerjemahkan COBOL ke Java atau Python tidak menerjemahkan kontrol keamanan yang melindungi data saat berada di dalam mainframe. Dalam penerapan z/OS yang umum, enkripsi ditangani di tingkat perangkat keras melalui prosesor kriptografi khusus, kontrol akses diberlakukan melalui RACF atau ACF2, dan data tidak pernah keluar tanpa melewati proses batch yang sangat terkontrol.
Namun ketika data yang sama berpindah ke lingkungan cloud-native, model perlindungannya berubah sepenuhnya: data kini didistribusikan di berbagai layanan, wilayah, dan penyedia, dan cakupan kepatuhan di bawah PCI DSS, HIPAA, dan GDPR meluas ke setiap sistem yang menyentuh data sensitif setelah meninggalkan z/OS. Tanpa strategi perlindungan data yang dirancang sebelum migrasi dimulai, organisasi akan menemukan bahwa mereka tidak memodernisasi keamanan mereka, melainkan memigrasikan risiko mereka.
Melindungi Data Tanpa Menyentuh Mainframe
Pendekatan paling praktis untuk mengamankan data selama dan setelah modernisasi beroperasi di lapisan jaringan daripada lapisan aplikasi, dan perbedaan ini penting karena memodifikasi aplikasi COBOL warisan jarang layak dilakukan dan memasang agen pada mainframe produksi menimbulkan risiko operasional yang tidak dapat diterima. Solusi perlindungan data tanpa agen mencegat data saat mengalir antara mainframe dan sistem hilir — melakukan tokenisasi, penyamaran, atau enkripsi bidang sensitif secara real time tanpa perubahan pada kode mainframe, skema basis data, atau alur kerja yang ada — dan solusi peningkatan dan modernisasi mainframe terbaik kini mengintegrasikan jenis keamanan inline ini sebagai komponen inti, bukan sebagai tambahan.
Tokenisasi, khususnya, telah muncul sebagai metode yang disukai untuk perusahaan yang beroperasi di lingkungan mainframe. Token yang mempertahankan format menjaga struktur data yang diharapkan oleh pemeriksaan validasi warisan — seperti verifikasi Luhn untuk nomor kartu kredit — sambil menghilangkan hubungan matematis antara token dan nilai aslinya, yang berarti token dapat mengalir melalui pipeline cloud, platform analitik, dan integrasi pihak ketiga tanpa mengekspos data sensitif atau merusak sistem hilir yang bergantung pada format yang konsisten.
Apa yang Harus Dievaluasi Perusahaan Sebelum Bermigrasi
Organisasi yang merencanakan program modernisasi mainframe harus mengevaluasi postur keamanan data mereka sebelum beban kerja pertama dipindahkan — secara khusus, di mana data sensitif berada di seluruh basis data mainframe dan penyimpanan data aplikasi, jalur migrasi mana yang akan mengekspos data tersebut ke lingkungan baru, dan bagaimana perlindungan akan bertahan setelah data mencapai cloud. Perusahaan yang berhasil dalam modernisasi memperlakukan keamanan data sebagai batasan desain sejak hari pertama, bukan sebagai kotak centang kepatuhan yang diterapkan secara retroaktif, sementara yang gagal cenderung menemukan — seringkali terlambat — bahwa mereka telah membangun versi yang lebih cepat, lebih murah, dan secara keseluruhan lebih rentan dari apa yang sudah mereka miliki.
