Disclaimer:
Tulisan ini adalah perspektif pribadi dari penulis yang disarikan dari berbagai pengalaman individu yang ada. Jika ada yang tidak sesuai, silakan dikembalikan ke perspektif dan pengalaman masing-masing karena tidak ada rumus yang baku dalam meniti karier di bidang IT, khususnya sebagai praktisi keamanan informasi (cyber security).
—
Saat masih punya banyak waktu untuk ngoprek, saya selalu beranggapan bahwa berbicara hal non teknis itu cupu (red.: culun, tidak keren) dan tak perlu. Ternyata saya salah!
Melalui berbagai pengalaman yang ada, saya jadi lebih memahami mengapa kebanyakan seminar itu membahas hal-hal yang umum, sedangkan untuk hal teknis dibahas di workshop. Coba bayangkan, jika kita diminta melakukan presentasi tentang cyber security di depan para senior management berbagai perusahaan, masihkah akan memperlihatkan script/code kita atau memaparkan “bahasa teknis”?
Pengalaman dalam business development dan mengerjakan proyek-proyek yang berkaitan dengan strategi, risk, governance, dan compliance membuat saya lebih memahami bagaimana bahasa yang halus dan dapat diterima oleh manajemen senior. Dalam hal ini, saya banyak belajar hal ini dari mentor-mentor saya selama berkarier. Terima kasih untuk para mentor saya.
Namun, sebagai praktisi keamanan informasi yang masih mengerjakan hal teknis, tentunya saya tetap harus ngoprek. Saya juga kadang suka mengingatkan rekan-rekan, khususnya yang latar belakang awalnya bukan di IT Security (misalnya IT auditor), untuk tetap mengerti hal teknis.
Misalnya, saat melakukan IT General Control Audit, dimana salah satu area IT audit adalah Access to Program and Data (APD). Salah satu komponen yang diaudit adalah konfigurasi password, pengelolaan super user, otorisasi user yang masuk grup sudo, dan lain-lain sejenis itu.
Teman-teman IT Audit ini dapat membantu saat ada proyek tekait host configuration review. Nah saat itulah tentunya IT Auditor harus menambah wawasan terkait area auditnya, misal memahami daftar kontrol yang tercantum di baseline yang digunakan, misalnya CIS Benchmark. Untuk lebih lengkapnya, berikut adalah domain dari IT Audit:
Sumber: https://www.slideshare.net/proferyk/cyber security-in-financial-audit-perpective-it-general-control
Pendekatan Risk-Based
Saya sempat menjelaskan dalam sebuah presentasi, bahwa cara yang lebih efisien dalam menyusun strategi cyber security adalah dengan pendekatan risk-based, dibandingkan dengan maturity-based.
Pendekatan Risk-based lebih presisi kepada risiko utama yang memang harus dimitigasi sampai ke level yang bisa diterima (risk acceptance). Sedangkan maturity-based itu bagus untuk mengumpulkan lebih banyak informasi, tapi sayangnya akan membutuhkan biaya yang lebih besar untuk mencapai level maturity tertentu (biasanya level 3).
Dalam kesempatan yang lain, saya sempat juga memperkenalkan sedikit tentang konsep 3 Lines of Defense (3LOD), yakni sebuah konsep dalam penerapan risk management secara umum. Konsep ini menjelaskan tentang perlunya 3 lini pertahanan dalam memitigasi risiko, termasuk dalam hal ini adalah risiko di cyber security. Berikut adalah contoh diagram yang menjelaskan 3LOD.
Saat kita berada di posisi IT Security atau bagian IT yang lainnya, kita berada di 1st Line. Bisa dibilang, 1st Line adalah bagian yang menjalankan operasional bisnis.
Pada 2nd Line, terdapat sebuah divisi, yakni divisi Risk Management (RM), yang bisa dianggap sebagai konsultan risiko bagi 1st Line. Innstitusi yang berada pada 2nd line ini memegang peranan yang cukup penting dalam menjembatani antara IT Security dengan level yang lebih tinggi (misalnya direksi). Sedangkan untuk fungsi yang bersifat assurance, tentunya 3rd Line (Internal Audit) yang memiliki peran.
Muncul pertanyaan berupa, “Kan sudah ada 2nd Line yang bantu membuat bahasa “risk”, buat apa 1st Line harus aware terhadap hal tersebut?”
Ya, memang dalam beberapa kondisi, bisa jadi kita akan langsung berhadapan dengan manajemen puncak tanpa perantara 2nd Line. Sebagai contoh, pada suatu proyek, laporan pentest saya dipresentasikan ke kepala divisi dari aplikasi yang di-pentest. Tentunya sebagai orang non-IT, tidak mungkin kita menjelaskan SQL Injection dan XSS dalam Bahasa teknis.
Pastinya, kita akan menggunakan bahasa yang mudah dimengerti baik saat menjelaskan deskripsi temuan maupun dampak dari temuan tersebut. Perlu dicatat bahwa user non-IT, kebanyakan akan fokus pada risiko keuangan, operasional, dan reputasi.
Cyber Security Sebagai Lini Kedua
Ada suatu konsep menarik yang diperkenalkan oleh KPMG, bahwa ternyata cyber security pun punya model 2LOD, yaitu Cyber Security dan Cyber Risk. Dari situ terlihat bahwa cyber security pun bisa seperti “IT”. IT operations, IT risk management, dan IT audit idealnya berada di layer yang berbeda, meskipun kemungkinan besar masih dapat digabung.
Idealnya, IT Operations adalah 1st Line, IT Risk Management adalah 2nd Line (biasanya di bawah OpRisk), dan IT audit adalah 3rd Line (di bawah Internal Audit). Dalam hal ini, Cyber bisa dibagi jadi 2, yaitu Cyber Security (1st Line) dan Cyber Risk (2nd Line).
Sumber: https://advisory.kpmg.us/articles/2018/tcrm-pov.html
Mengacu pada bagan di atas, pada 1st LOD sifatnya lebih ke penerapan kontrol, standar, dan prosedur terkait security, serta pengukuran kinerja dalam bentuk KPI dan metrics. Sedangkan 2nd LOD lebih fokus ke kepatuhan terhadap regulasi dan standar yang harus dipenuhi oleh perusahaan, serta pengukuran dalam bentuk Key Risk Indicator (KRI) dan kuantifikasi risiko.
Jika disimpulkan, 1st LOD berfokus pada proses proteksi, deteksi, monitoring, dan response. 2nd LOD berfokus pada manajemen risiko yang terkait cyber security. Berikut adalah contoh diagram yang menjelaskan 2LOD untuk cyber security.
Sumber: https://advisory.kpmg.us/articles/2018/tcrm-pov.html
Strategic Thinking Seorang Praktisi IT
Sebelum dan saat terlibat ke proyek-proyek yang bersifat strategy, architecture, governance, risk, dan compliance, saya juga ditugaskan ke proyek-proyek yang bersifat teknis, misalnya pentest, configuration review, dan implementasi tools. Saya setuju, technical skill seorang praktisi IT Security harus selalu terasah.
Namun, jika kita memiliki tujuan jangka panjang untuk menjadi praktisi yang versatilist atau generalist, atau ingin menjadi CISO, tentunya haram hukumnya membatasi kemampuan dan pengalaman kita di satu bidang yang spesifik.
Menjadi CISO atau security leader tidak cukup dengan hanya memahami sisi teknis suatu teknologi keamanan. Hal-hal yang saya sebutkan di atas, plus kemampuan dan pengalamanan non-teknis wajib hukumnya untuk dimiliki.
Membawa Cyber Security ke Level yang lebih Tinggi
Jika rekan-rekan ingin menjadi the next cyber security leader, tentunya butuh proses yang tidak sebentar untuk membentuk karakter dan perspektif yang tepat untuk membawa cyber security ke arah yang lebih baik. Lebih baik dalam arti mendapat dukungan penuh dari top management (khususnya budget) dan tim yang kita pimpin tumbuh, baik secara jumlah dan kapabilitas.
Memang saat ini ada sertifikasi dan pendidikan khusus yang dapat mendukung wawasan kita untuk menjadi the next Cyber Security Leader. Namun, tentunya akan kurang optimal jika tidak disertai pengalaman yang relevan.
Mengapa pengalaman yang relevan itu penting? Karena saya temui, ada juga Cyber Security Leader yang tidak memiliki latar belakang yang cukup dan layak di bidang cyber security. Banyak juga “Chief Information Security Officer (CISO) nanggung”, dalam artian menggunakan titel CISO tapi posisinya masih beberapa level di bawah Head IT / Direktur IT / Direktur Operasional dan IT.
Saran saya, rekan-rekan praktisi IT jangan hanya berfokus pada suatu area atau bidang yang spesifik (kecuali memang ingin menjadi spesialis, tidak ada yang salah kok). Mulailah berpikir suatu solusi, terutama yang paling dibutuhkan oleh organisasi. Cyber security tidak hanya sekedar pentest, implementasi tools, security analysis and monitoring, dan hardening, tetapi banyak sekali area-area yang masih dapat dipelajari.
Last but not least, untuk menaikkan cyber security ke level yang lebih tinggi, bawalah perspektif kita ke level di mana top management dapat memahami “bahasa” kita.
** Tulisan ini adalah pengembangan dari tulisan sebelumnya, yang pernah dimuat di medium.com, dengan judul “Membawa Perspektif Keamanan Informasi ke Level yang lebih Tinggi”.
0 Comments