Dalam dunia digital seperti sekarang, keamanan siber atau cybersecurity menjadi hal yang sangat krusial. Banyak organisasi seringkali lalai dan sudah merasa aman ketika sudah berhasil mematuhi standar umum seperti sertifikasi ISMS dari ISO, namun apakah dengan memenuhi standar berarti kita sudah aman? Mari kita bahas compliance-driven dan awareness-driven dalam implementasi cybersecurity dan bagaimana pentingnya untuk mengintegrasikan kedua poin tersebut.
Compliance-Driven vs. Awareness-Driven Security: Pros & Cons
Compliance-Driven Security:
Pros: Memastikan kepatuhan pada regulasi, lebih mudah dengan framework yang jelas, dan dapat menjauhkan dari sanksi-sanksi regulasi
Cons: Biasanya birokratis, fokusnya adalah untuk comply dengan implementasi seminimal mungkin (tidak optimal), dan cenderung lambat dalam mengikuti trend landskap keamanan siber.
Awareness-Driven Security:
Pros: Bottom-top approach yang membuat semua bagian organisasi merasa bertanggung jawab atas cybersecurity, membangun kultur awareness yang lebih matang, dan lebih fleksibel & adaptive dalam merespon ancaman baru
Cons: Biasanya memerlukan investasi training dan waktu yang lebih besar, sulit untuk diukur dengan metrik kuantitatif, dan sering kali tidak dapat dikaitkan langsung dengan kebutuhan bisnis.
Berdasarkan data dari Varonis, 66% dari perusahaan berinvestasi pada cybersecurity karena adanya kebutuhan compliance. Ini menimbulkan banyaknya gap yang muncul dari keadaan perusahaan yang hanya ingin comply dan tidak benar benar mengerti aspek HOW & WHY dari implementasi yang mereka lakukan.
Case Study: PDN Ransomware Attack
Baru saja kita dikejutkan dengan berita adanya serangan siber yang secara sukses berhasil melumpuhkan Pusat Data Nasional (PDN). Rasanya cukup valid kalau kita asumsikan bahwa sistem PDN sudah comply dengan regulasi dan standar umum seperti ISO 27001. Meskipun demikian, kita bisa melihat adanya gap yang besar dalam penanganan insiden ini. Meskipun sudah mengikuti standar yang ada, ketika insiden terjadi, kapabilitas dan awareness tim terkait dalam melakukan respon insiden dan pemulihan pasca insiden lah yang menentukan hasil akhirnya. Didukung oleh fakta lapangan bahwa backup, yang selalu menjadi bagian penting dalam pemenuhan compliance, tidak benar-benar tereksekusi dengan baik. Ditambah lagi dengan mulai beredarnya berita mengenai dugaan kebocoran akses yang melibatkan keteledoran dalam distribusi dokumen penting.
Ini menjadi bukti bahwa
sudah comply bukan berarti sudah "aman". Diperlukan awareness untuk menciptakan ruang yang aman dalam cyberspace.
Back-to-Basics: NIST CSF 2.0
Source : NIST
Dari kasus tadi sebenarnya kita bisa simpulkan bahwa,
We need more than just to comply!
Tapi bagaimana caranya? Mari kita kembali ke dasar, kembali membaca teori sebelum masuk ke tahap implementasi. National Institute of Standards and Technology (NIST) punya framework yang bisa membantu kita sebagai kerangka berpikir dalam memulai perjalanan pengimplementasian cybersecurity.
Cybersecurity Framework dari NIST bisa kita simplifikasi kedalam 5 komponen-komponen dibawah ini:
Identify: Understand and manage organizational assets.
Govern: Establish risk management strategies and policies.
Protect: Implement safeguards to ensure service delivery.
Detect: Identify cybersecurity events promptly.
Respond: Develop and implement response plans.
Recover: Maintain resilience and restore capabilities after an incident.
Dalam framework ini kita bisa lihat bahwa implementasi ideal bisa dimulai dengan identifikasi, IDENTIFIKASI siapa kita dan apa yang harus kita jaga. Setelah identifikasi, diikuti dengan planning & strategizing bagaimana dan dengan apa kita melakukan PROTEKSI, apakah perlu firewall? Firewall jenis apa? Antivirus? EDR? XDR? Yang seperti apa? Goals nya apa? Setelah itu, kalau misalnya memang ada serangan bagaimana kita bisa menDETEKSI dan meRESPONnya. Perlukah security operations? Atau tim IT saja sudah cukup? Lalu bila sudah terjadi serangan bagaimana kita bisa melakukan PEMULIHAN. Adakah backupnya? Perlu berapa lama untuk pulih? Tentu juga tidak lupa semua itu dibarengi dengan analisa resiko dan tata kelola Governance yang transparan dan responsive.
Tantangan dan Khilaf yang Sering Terjadi
*Biasanya* ketika implementasi cybersecurity tidak dibarengi dengan kerangka berpikir yang runtut akan muncul beberapa masalah seperti :
Implementasi Security Operation Center (SOC) Tanpa Dasar: Membangun Security Operations Center (SOC) tanpa memastikan keamanan dasar seperti firewall dan antivirus terlebih dahulu.
Impact: SOC terbaik dunia pun akan kalang kabut kalau tidak ada implementasi dasar seperti firewall.
Pengadaan Solusi Cybersecurity Tanpa Pemahaman Kebutuhan: Membeli perangkat keamanan tanpa mengetahui kebutuhan sebenarnya.
Impact: Buang-buang modal dan bahkan bisa memperbesar celah.
Compliance Without Awareness: Hanya fokus pada checklist tanpa ada upaya untuk menumbuhkan kesadaran.
Impact: Karyawan jatuh dalam perangkap phising dan social-engineering, membuat organisasi menjadi target yang empuk.
Dari Kerangka Berpikir Menjadi Strategi
Dengan kerangka berpikir yang sudah kita bangun tadi. Mari kita coba untuk merumuskan strategi-strategi nyata yang dapat ditindaklanjuti.
1. Phase 1: Essentials (Establish):
Perform Gap Analysis: Mencari gap dan celah yang masih ada didalam organisasi dalam aspek-aspek keamanan informasi. Bisa merujuk pada standar seperti ISMS/ISO 270001 sebagai langkah awal.
Discover Assets & Assess Vulnerabilities: Melakukan identifikasi aset-aset digital dan pengecekan kesehatan dan kerentanan awal pada semua aset digital.
Establish Endpoint & Application Protection: Implementasikan basic controls berupa Endpoint Protection dan Firewall untuk mengamankan aset digital yang beresiko tinggi dan yang jelas dapat menjadi target serangan.
Establish Baseline Security Awareness: Memahami dan menilai tingkat kesadaran keamanan siber saat ini di berbagai level dalam sebuah organisasi.
2. Phase 2: Intermediate (Improve):
Modular Compliance Workshops: Menggunakan aspek compliance untuk meningkatkan implementasi yang ada.
Vulnerability Management & Penetration Testing: Manajemen kerentanan dan pengujian penetrasi secara berkelanjutan.
Prevent, Detect & Respond to Cyber Incidents: Implementasi Security Operations Center untuk mendukung aspek deteksi dan respon insiden.
Improve Security Awareness & Competency: Melakukan awareness training yang juga diikuti simulasi serangan-serangan phishing.
3. Phase 3: Advanced (Strengthen):
E2E Consulting & Workshops: Melakukan sertifikasi dan assessment lanjutan untuk mendapat kredibilitas dan roadmap implementasi kedepan.
Advanced, Simulation-based Security Assessment: Fokus kepada real-world scenario dengan Red-Team Simulation, Cyber-Drill dan Compromise Assessment
Security Automation & Threat Intelligence: Satu langkah lebih maju dengan Threat Intelligence dan Automations di dalam proses deteksi dan respon insiden.
Strengthen Security Awareness & Competency: Implementasi program berkelanjutan untuk meningkatkan kesadaran seluruh bagian organisasi terhadap keamanan informasi dan siber.
Kesimpulan
Balancing compliance with awareness, didukung kerangka berpikir berdasarkan standar Cybersecurity Framework International, dapat membantu mengoptimalkan dan memaksimalkan dampak implementasi cybersecurity yang ada. Ditambah juga budaya organisasi dengan awareness yang tinggi, dapat membantu mengamankan sebuah organisasi.
Mari evaluasi implementasi cybersecurity sekarang! Jangan hanya menjadikan cybersecurity kewajiban dalam compliance. Mari bangun budaya sadar siber yang dapat meminimalisir terjadinya insiden.
For further discussion, contact Nexagate. Let's secure your organization together.
Comments