Investasi Cybersecurity Tak Perlu Mahal Jika Anda Melakukannya Bijak

Ilustrasi | Foto: freepik.com

APA satu hal yang akan menyentuh setiap bagian dari hidup kita untuk sekarang dan selamanya? Teknologi jawaban yang paling sederhana. Yang lebih jauh lagi ialah dunia siber yang terkait erat dengan keamanan siber (cybersecurity).

Sayangnya, cybersecurity dan/atau cyber resilience satu-satunya hal yang hilang dari sebagian besar proyek siber yang saya amati selama empat tahun terakhir saya tinggal di Indonesia.

Saya melihat dasar-dasar cybersecurity, serangkaian perlindungan titik akhir (end point) dan jaringan yang sangat terbatas, sudah diterapkan. Namun, belum ada yang sesuai dengan apa diperlukan untuk cyber resilience alias Cybersecurity 4.0.

Tampaknya ada kesalahpahaman besar dalam persyaratan. Bahkan, standar keamanan ISO 27001 hanya diterapkan secara terbatas tanpa dukungan standar ISO 27002 hingga 27005 yang diperlukan untuk mulai memenuhi kebutuhan Cybersecurity 4.0.

Bahkan, kerangka keamanan siber yang dirujuk oleh BSSN, lebih jarang disaksikan di Indonesia.

Kesenjangan sumber daya pada kasus per kasus, bahkan pada tingkat nasional, dibandingkan dengan keamanan siber yang diterapkan dan diperlukan sangatlah besar dan tumbuh lebih besar setiap hari di Indonesia.

Pertama, kita memiliki “utang teknis” (technical debt) yang harus dibayar. Seiring solusi yang lebih baru datang ke pasar, “utang teknis” ini terus tumbuh secara nasional setiap hari.

“Utang teknis” dalam definisi dasarnya ialah setiap kali kita mengambil jalan pintas atau gagal melakukan tindakan baik pemeliharaan maupun pengembangan yang diperlukan untuk sistem siber. Sebutlah, salah satunya cybersecurity. Utang tersebut berasal dari kurangnya program risiko dan kepatuhan formal, perlindungan end point yang terbatas, dan tak adanya peta jalan keamanan siber dalama solusi Anda sebagai bagian dari setiap proyek siber baru. Ini berarti Anda meningkatkan ‘utang teknis” yang sangat mahal yang harus Anda bayar nantinya.

“Utang teknis” yang lebih tinggi dapat menyebabkan peningkatan biaya di akhir proyek alias pembengkakan biaya. “Utang teknis” juga dapat menyebabkan pemberian akses kepada peretas jahat. Mereka akan mengendalikan layanan digital terbaru Anda atau mencuri data yang ada; atau sesuatu yang merusak reputasi bisnis Anda.

Mungkin pernah ada suatu masa di Indonesia, bahwa perlindungan siber dengan biaya murah bisa berhasil, tapi sekarang dengan pasar global yang lebih aktif dan predator di internet, proteksi siber “setengah jalan” dapat berisiko hilangnya investasi secepat Anda mendapatkannya.

“Utang teknis historis” juga dapat menyebabkan pemborosan biaya penerapan teknologi baru serta biaya operasional, seperti listrik dan pemeliharaan sistem. Semua ini terkait dengan satu masalah utama yaitu kurangnya investasi dalam teknologi informasi (TI) di semua lini dalam jangka panjang. Yang terjadi malah sebaliknya, seperti alih-alih mengganti, tetapi justru memperbaiki perangkat keras yang tidak lagi didukung oleh vendor, menolak pembaruan sistem operasi dan aplikasi setelah dukungan berakhir, atau, lebih buruk lagi, menggunakan versi aplikasi/sistem operasi berbasis cracked untuk memangkas biaya.

Setiap tindakan tersebut mengarah pada risiko yang lebih tinggi untuk bisnis dan cara yang lebih mudah bagi penyerang kriminal masuk. Semakin besar “utang teknis” Anda, semakin mahal dan rumit migrasi Anda ke Industri 4.0 dan Cybersecurity 4.0.

Di awal, Anda harus mengidentifikasi di mana “utang teknis” terbesar Anda berada dan membuat rencana investasi masa depan untuk menghilangkan atau paling tidak mengurangi utang ini untuk meningkatkan kematangan siber sesuai kebutuhan pada saat ini.

Saya paham kita butuh penekanan biaya, tetapi menekan biaya dengan mengorbankan peningkatan risiko untuk bisnis bukan pilihan yang tepat. Sebab, siber perlu digunakan sedemikian rupa sehingga menjadi bagian yang menguntungkan dari bisnis Anda. Pikiran bahwa tim siber Anda adalah sebagai pusat biaya sudah harus diakhiri. Anda perlu menemukan solusi yang memungkinkan Anda untuk berinvestasi di perusahaan Anda melalui departemen TI untuk meningkatkan pertumbuhan Anda sekaligus mengurangi biaya harian dalam menjalankan bisnis. Jika Anda melakukan ini dengan benar, tim TI Anda menambah keuntungan perusahaan dan mengurangi risiko bisnis Anda yang terekspos setiap hari dan ke depan.

Bagaimana Anda melakukan hal tersebut?

Pertama, Anda harus menjaga staf TI Anda tetap terlatih tentang tren terkini dan teknologi baru yang memungkinkan mereka menemukan solusi baru untuk membantu bisnis Anda mengurangi biaya dan meningkatkan produktivitas.

Dalam beberapa kasus, Anda mungkin perlu memulai dengan konsultan luar untuk membantu Anda menemukan tujuan akhir yang tepat. Dengan mengetahui solusi dari tujuan akhir proyek Anda merupakan cara yang lebih murah daripada tersesat di tengah proyek.

Saya sangat merekomendasikan pelatihan profesional berkelanjutan di semua level tim TI dan jika mungkin konsultan mentoring dari luar untuk tim yang mungkin masih mempunyai pengalaman terbatas.

Kedua, mengetahui batasan Anda. Maksud saya, memahami apa yang Anda dan staf dapat lakukan dengan baik dan apa yang tidak. Jika Anda memiliki komputer dan infrastruktur jaringan yang sudah tua, jangan berharap untuk menggunakannya untuk mulai meningkatkan rantai pasokan dan manajemen logistik tanpa investasi tambahan.

Jangan berharap tim TI Anda dapat membeli perangkat keras atau perangkat lunak keamanan baru dan mendapatkan perlindungan secara otomatis. Ketahui seberapa jauh Anda benar-benar memfungsikan sebuah alat, istilahnya jangan sampai Anda membeli mesin besar, padahal sebenarnya Anda hanya memerlukan mesin kecil.

Over buying ialah masalah besar sama halnya dengan under buying di dunia TI. Analogi mudahnya, “alat keamanan perusahaan” yang Anda beli seperti layaknya “baju perang” karakter superhero Iron Man yang dapat ditemui dijual di internet, lalu kita order sebagai “alat keamanan perusahaan”. Kemudian, Anda menerima paket 600 boks “baju perang” yang harus dirakit hanya dengan sebuah instruksi pemasangan.

Padahal, persyaratan keamanan saat ini tidak sesederhana itu. Apalagi untuk praktisi keamanan. Berinvestasi dalam solusi keamanan yang salah hampir sama buruknya dengan berinvestasi dalam solusi keamanan yang tidak ada hasilnya. Jika Anda tidak dapat meningkatkan tingkat risiko Anda dengan segera dan meningkatkan kematangan keamanan pada hari pertama, temukan solusi lain yang berbeda.

Itu sama halnya untuk semua layanan komputer: apakah Anda memerlukan server yang di-hosting sendiri atau aplikasi berbasis kontainer versus sistem berbasis cloud.

Setiap kali Anda menerapkan ke cloud, Anda memiliki kumpulan exposure keamanan yang berbeda ketimbang solusi yang di-hosting sendiri. Setiap bisnis memiliki tingkat risiko yang berbeda sehingga mereka juga bersedia diekspos dan ini perlu dimasukkan dalam pilihan Anda.

Poin utamanya adalah Cybersecurity 4.0 butuh tingkat perlindungan yang sama untuk solusi TI yang dimiliki atau disewa. Dan, sebagai pengelola data, bisnis Anda bertanggung jawab atas data tersebut. Mempersingkat solusi dan tidak melindunginya dengan benar, hanya dapat membawa kita pada masalah.

Intinya, Anda harus menciptakan orang, prosedur, dan teknologi untuk sukses di dunia Industri 4.0. Anda harus mengetahui batasan dari apa yang Anda miliki hari ini dan batasan yang perlu Anda penuhi atau lampaui besok.

Di tingkat global, kita hampir 100 persen kekurangan dalam tenaga siber yang terlatih dan berpengalaman. Jadi, bukan hanya di Indonesia, tetapi kita semua mulai kehilangan orang-orang berpengalaman karena kita tidak terus berinvestasi di dalamnya.

Dunia maya adalah aset tidak berwujud dan sulit untuk memahami kebutuhan untuk terus menemukan tenaga ahlinya. Namun, jika kita tidak melakukannya, kita akan gagal mencapai apa yang sebenarnya kita mampu dan orang lain akan melangkah maju untuk mengambil tempat kita di tangga ekonomi dunia.

Mengamankan siber jauh lebih sulit daripada membangun siber saat keamanan tidak dibangun sejak sesi desain dan persyaratan pertama. Luangkan waktu untuk menginvestasikan sumber daya baik dari pihak ketiga atau internal untuk setiap proyek siber untuk melakukan tinjauan dan arsitektur keamanan sebelum Anda mulai membangun solusi Anda.

Dengan pola pikir seperti itu, Anda akan menghemat waktu dan uang di masa mendatang plus mengurangi risiko dan membangun ketahanan siber dalam proses mengurangi “utang teknis” Anda secara keseluruhan. Siber tidak perlu mahal begitu juga dengan cybersecurity—mereka hanya mahal jika Anda membuatnya seperti itu.[]


Penulis adalah COO dan Chief Geek untuk PT. DNA yang berbisnis di Naga Cyber, Naga Cybersecurity dan Naga Cyber Defense. Dengan pengalaman 41 tahun dalam TI dan 34 tahun pengalaman cybersecurity di seluruh spektrum siber, ia pernah menjadi guru dan Enterprise Security Solution Architect yang bekerja di Amerika, Eropa, Timur Tengah dan Asia untuk Bisnis Global 2000 dan Pemerintah.