Dengan jumlah serangan siber terhadap asset-aset organisasi dan perusahaan yang terus meningkat, pengelolaan keamanan informasi di organisasi dan perusahaan pun perlu ditingkatkan. Salah satunya dengan mengadakan fungsi Security Operation Center (SOC).
Sebuah studi tentang pencurian data yang dirilis oleh IBM pada tahun ini mengungkapkan bahwa kerugian akibat pencurian data dari tahun ke tahun naik sebesar 12%, dengan kerugian rata-rata sebesar US$3,92 juta.
Laporan yang sama juga mengatakan, rata-rata waktu yang dibutuhkan untuk mengidentifikasi kebobolan, mulai dari hari pertama sampai serangan itu diketahui, adalah 206 hari. “Bayangkan, sudah berapa banyak data yang keluar kalau dilihat sekian lama kita kebobolan,”ujar Toto A. Atmojo, CISSP, CISA, Direktur, PT Defender Nusa Semesta (Defenxor).
Jenis serangan juga makin kompleks dan sulit diidentifikasi dengan cepat. “Apalagi malware yang levelnya nation state, yang mensponsori attack adalah negara,” kata Toto. Bahkan untuk serangan yang tergolong Advanced Persistent Threat (APT), proses hacking-nya tidak hanya satu minggu, tapi bisa sampai dua tahun. Serangan yang terus menerus dan canggih ini biasanya membidik target yang benar-benar bernilai tinggi, misalnya data-data migas dan nasabah perbankan.
Di sisi lain, Toto melihat sebuah paradoks. “Pertumbuhan rata-rata industri keamanan TI naik sekitar 8,4%. Bandingkan dengan rata-rata pertumbuhan TI lainnya, misalnya data center 1%, perangkat TI malah -1,1%,” paparnya. Pertumbuhan industri keamanan yang tinggi seharusnya mengurangi jumlah insiden.
Di tengah situasi yang penuh ancaman dan serangan terhadap infrastruktur data ini, banyak organisasi atau perusahaan berniat membangun Security Operation Center (SOC) untuk meningkatkan keamanan informasi.
“SOC adalah fungsi dalam organisasi atau perusahaan yang bertujuan mengidentifikasi, mengelola, dan meremediasi serangan,” jelas Toto Atmojo. Untuk dapat menjalankan fungsi tersebut, SOC harus mempunyai beberapa komponen utama. Yang pertama adalah pengumpul dan pengelola log untuk informasi dan data yang datang dari berbagai perangkat dan sistem.
Komponen kedua mencakup pengawasan atau monitoring. “Setelah mengumpulkan data dari berbagai sumber, SOC akan melakukan monitoring terhadap hal-hal yang terjadi di lingkungan TI. Ketika ada serangan, SOC akan mengidentifikasi dan bereaksi terhadap serangan tersebut,” jelas Toto.
Dengan memiliki fungsi SOC, perusahaan atau organisasi dapat mengetahui kondisi keamanan informasi secara real time dapat bereaksi cepat ketika terjadi serangan. Kapan SOC dibutuhkan? “Kalau organisasinya sudah cukup besar, asset-asetnya cukup mahal sehingga ada justifikasi untuk membangun SOC. Misalnya, bank kategori BUKU 4,” jelas Toto.
Pertanyaan selanjutnya adalah haruskah perusahaan membangun SOC sendiri? Menurut Toto, ada beberapa kriteria apakah satu organisasi harus membangun sendiri SOC atau tidak. Ketika satu perusahaan menyimpan data-data yang sangat konfidensial, mungkin membangun sendiri SOC adalah pilihan terbaik.
Namun membangun SOC sendiri juga bisa menjadi tantangan bagi perusahaan lainnya. Membangun SOC tentu membutuhkan investasi yang tidak sedikit, salah satunya untuk menginstalasi solusi Security Information & Event Mangement (SIEM) sebagai inti dari SOC. Toto menjelaskan, Defenxor sendiri telah berinvestasi sekitar Rp 5 miliar untuk SOC-nya yang beroperasi sejak tahun 2015.
Tantangan lain adalah sumber daya manusia. “Investasi tidak masalah tetapi mungkin struktur organisasinya tidak memungkinkan sebuah perusahaan membangun SOC,” jelas Toto. Defenxor, misalnya, memiliki 40 orang yang selama 24/7 bergantian bertugas di SOC. Bisa dibayangkan kesulitan perusahaan menjustifikasi rekrutmen 40 orang hanya untuk satu fungsi.