Urgensi Keamanan Siber

MONDAYREVIEW.COM – Tim respons insiden keamanan komputer (CSIRT) organisasi kita memainkan peran penting dalam mengoordinasikan proses respons insiden untuk peristiwa keamanan yang memengaruhi infrastruktur, data, atau pengguna perusahaan. Tetapi kepada siapa kita menyerahkan kasus insiden atau kerentanan terkait dengan produk yang kita buat?

Tim respons insiden keamanan produk (PSIRT) mengidentifikasi, mengevaluasi, dan mengoordinasikan respons terhadap kerentanan keamanan dalam produk yang kita buat. Sedangkan CSIRT melindungi infrastruktur yang diandalkan organisasi, PSIRT memelihara produk yang diproduksi oleh organisasi tersebut untuk menghasilkan pendapatan. Meski fokus inti masing-masing tim berbeda, ada banyak kesamaan.

Seperti CSIRT, PSIRT bukanlah pulau di perusahaan kita; itu tidak beroperasi secara independen dari bagian lain dari organisasi. Jelas, cara itu tertanam di dalam organisasi bergantung pada kematangan, ukuran dan tujuan tim - dan, tentu saja, sumber daya yang tersedia. Model embedding yang paling umum sangat mirip dengan struktur CSIRT biasa.

Huawei Indonesia bekerja sama dengan Badan Siber dan Sandi Negara (BSSN) menggelar workshop keamanan siber untuk meningkatkan capacity building dan awareness para personel BSSN sebagai bagian dari Tim Computer Security Incident Response Team (CSIRT).

Acara tersebut dibuka dengan live-streaming talk show dari Museum Sandi dengan tema “Cyber Attack Countermeasures” dan kemudian dilanjutkan workshop “PSIRT & CSIRT Management” di Kota Yogyakarta dari tanggal 26 – 28 Oktober 2020 yang diikuti segenap personel BSSN sebagai kelanjutan dari salah satu agenda yang tertuang dalam Nota Kesepahaman yang telah ditandatangani oleh kedua belah pihak.

Letjen TNI (Purn) Hinsa Siburian, Kepala BSSN dalam sambutannya mengatakan serangan siber diprediksikan akan terus berkembang, baik dari segi taktik, teknik, maupun prosedur yang digunakan.

Serangan-serangan tersebut perlu menjadi perhatian dalam meningkatkan kewaspadaan nasional. Oleh sebab itu, BSSN mengambil langkah strategis untuk dapat mewujudkan keamanan siber nasional, di antaranya melalui Peningkatan kompetensi SDM Siber dan Sandi, Penguatan National Security Operation Center (NSOC), dan pembentukan Computer Security Incident Response Team (CSIRT).

Kembali ke materi terkait CSIRT. Di satu sisi, ada model terdistribusi di mana kita melibatkan anggota departemen yang ada, seperti ahli materi pelajaran dari tim teknik dan TI. Di sisi lain, dalam model terpusat, PSIRT memiliki kepegawaian sendiri.

Model terdistribusi bekerja dengan sangat baik untuk menskalakan tim, dan kita dapat memanfaatkan pengetahuan yang ada dari para ahli yang berpengalaman di organisasi kita. Namun, mempertahankan pengawasan dapat menjadi tantangan, dan terkadang ada benturan tanggung jawab atau tugas. Model terpusat berfungsi dengan baik untuk penataan yang jelas dan tidak redundan, tetapi penskalaan, terutama di lingkungan dengan sekumpulan produk yang besar, bisa menjadi sangat sulit.

Maka, yang terbaik dari kedua dunia adalah model hibrid, di mana tim kecil memegang kendali, tetapi hubungan produktif dibangun dengan para ahli di seluruh departemen.

Saat membangun PSIRT, kita harus terlebih dahulu mengembangkan piagam yang menjelaskan bagaimana tim akan beroperasi dan layanan apa yang akan diberikannya. Piagam harus mencakup peran dan tanggung jawab, model operasi dan produk yang berada dalam cakupan (mirip dengan deskripsi konstituensi). Panduan tambahan tentang menyiapkan kerangka layanan untuk PSIRT disediakan oleh Forum untuk Tim Tanggap Insiden (FIRST).

Jelas, kita membutuhkan staf dan anggaran khusus untuk mempertahankan operasi jangka panjang. Model pendanaan dapat mencakup layanan "menjual" ke tim internal lain: PSIRT kita dapat memberikan penilaian kerentanan atau pengujian kode yang mungkin kita lakukan outsourcing ke mitra eksternal.

Selain anggaran, kita juga membutuhkan peralatan yang memadai untuk melakukan pekerjaan kita. Khusus untuk tim yang dimulai dengan model terdistribusi, harus diperhatikan bahwa anggota tim menggunakan perkakas PSIRT dan tidak hanya bergantung pada kit departemen mereka. Gagal melakukannya dapat menimbulkan risiko bahwa tidak semua anggota tim memiliki akses ke pengetahuan yang sama.

Identifikasi pemangku kepentingan kita, bangun hubungan dengan mereka, dan pastikan ada dukungan. Pertimbangkan kebutuhan dan persyaratan mereka saat menentukan piagam atau kebijakan, dan sesuaikan komunikasi kita dengan mereka; tidak setiap pemangku kepentingan mengharapkan jenis pesan yang sama.

Dokumentasikan kebijakan, proses dan prosedur kita, dan atur lokakarya di dalam organisasi untuk membuatnya dikenal. Menerapkan persyaratan tim tanpa melibatkan semua tim lain yang terpengaruh akan menjadi kesalahan besar. Sangat penting untuk mendidik semua orang di organisasi tentang keamanan produk dan peran mereka dalam tujuan tersebut.

Ini akan mencakup pemangku kepentingan internal seperti mereka di bidang teknik, hukum, komunikasi, penjualan, dan dukungan pelanggan. Jangkau juga pemangku kepentingan eksternal, termasuk CSIRT nasional atau sektoral kita. Terlibat dalam berbagi informasi dan pusat analisis (ISAC) dan membangun saluran komunikasi dengan organisasi konsumen dan badan pengatur.

Elemen penting dari keterlibatan ada dalam Secure Development Lifecycle (SDL). Pastikan PSIRT kita berpartisipasi dalam aktivitas SDL dan proses tata kelola untuk gambaran lengkap setiap versi setiap produk sebelum ditayangkan.

Setelah kita mengidentifikasi semua pemangku kepentingan kita, tentukan metrik yang akan kita gunakan untuk pelaporan. Metrik ini kemungkinan besar akan bergantung pada prioritas orang yang kita laporkan.