Ancaman cyber security kini semakin ditakuti. Fakta ini tercermin dari studi yang dilakukan PwC terhadap 1600 CEO dari berbagai perusahaan di seluruh dunia. Ketika ditanya risiko paling besar terhadap bisnis, 80% responden menunjuk cyber attack di posisi teratas.
Salah satu tantangan cyber security adalah mendeteksi titik lemah dari infrastruktur TI yang dimiliki perusahaan. Selama ini, perusahaan mengandalkan penetration test untuk mengecek keamanan jaringan TI-nya.
Namun sebuah startup bernama SecurityScorecard menawarkan solusi alternatif yang lebih cepat dan efektif. “SecurityScoreCard adalah platform untuk menghitung cyber risk dari perusahaan,” ungkap Royston Chng, Regional Director SecurityScoreCard untuk kawasan Asia Pasifik.
Menangkap Sinyal Eksternal
Secara prinsip, SecurityScoreCard bekerja dengan cara melakukan pengecekan keamanan domain perusahaan yang terhubung ke internet. Penilaian dilakukan dengan “menangkap” berbagai sinyal eksternal, sehingga tidak ada software atau tools yang harus dipasang di jaringan internal perusahaan. “Jadi kami memotret security sebuah domain dari kacamata hacker,” ungkap pria yang akrab dipanggil Roy ini.
Proses pengecekan meliputi 10 aspek, mulai dari network security, DNS health, patching cadence, sampai hacker chatter. Dari seluruh aspek tersebut, SecurityScoreCard akan mengeluarkan skor (skala 1-100 dan Grade A-E) sebagai gambaran keamanan domain sebuah perusahaan.
Beginilah contoh penilaian yang dilakukan SecurityScorecard terhadap sebuah domain
Selain penilaian, SecurityScorecard juga menyajikan penjelasan mendetail mengenai sumber kelemahan dan bagaimana mengatasinya. Contohnya sebuah bank di Indonesia yang mendapat skor Network Security rendah karena memiliki SQL Server yang salah satu port-nya terbuka. “Jadi SecurityScorecard dapat mendeteksi ketika ada kelemahan, sekaligus memberikan rekomendasi untuk mengatasi kelemahan tersebut,” tambah Roy yang akan menjadi pembicara di acara ICION Conference 2020 itu.
Menurut Roy, perusahaan dapat menggunakan skor ini untuk berbagai tujuan. Yang utama adalah mendapatkan benchmark atas kelemahan infrastruktur IT yang mereka miliki. Setiap kelemahan yang ditemukan SecurityScorecard dikelompokkan severity level atau tingkat kekritisannya.
Walhasil, perusahaan dengan mudah menyusun strategi menambal kelemahan yang memiliki severity level tinggi. “Pendekatan ini cocok dengan kondisi umum saat ini, ketika anggaran untuk IT security relatif kecil,” tambah Roy. Sistem SecurityScorecard juga menyimpan naik-turunnya skor sebuah domain selama 12 bulan, sehingga perusahaan bisa mengetahui apakah langkah pengamanan yang telah dilakukan membuahkan hasil.
Selain menilai diri sendiri, solusi SecurityScorecard juga bisa digunakan untuk menilai tingkat keamanan dari mitra bisnis, utamanya yang sistem TI-nya terhubung ke perusahaan Anda. Hal ini penting karena pengalaman menunjukkan, sistem sebuah perusahaan bisa bobol akibat kelemahan security dari perusahaan mitra.
“Contohnya insiden kebocoran data di Mindef (Ministry of Defence Singapura, Red) akhir 2019 kemarin yang terjadi karena kelemahan dua vendor yang menjadi mitra bisnis Mindef,” ungkap Roy. Dengan mengetahui kelemahan mitra bisnis, kita pun bisa melakukan cara pencegahan.