DANA Indonesia Berikan Tips Bagi Organisasi dalam Menerapkan Keamanan Siber yang Efektif


VP Information Security DANA Indonesia, Andri Purnomo

VP Information Security DANA Indonesia, Andri Purnomo

Kebocoran informasi yang cukup tinggi membuat ancaman akan kebocoran data juga secara signifikan semakin naik. Terlepas dari komunitas kejahatan, tentunya bekerja sama untuk mendidik hacker muda melalui forum Facebook, Telegram, dan lain sebagainya untuk menyerang data pribadi dengan tools yang telah disediakan seperti komputer, gadget, dan seluler.

VP Information Security DANA Indonesia, Andri Purnomo menuturkan bahwa dalam menerapkan keamanan siber yang efektif DANA Indonesia memberikan beberapa tips bagi organisasi yang ingin memulai melindungi data dari ancaman siber.

"Kelima tips tersebut adalah pemilihan frameworks keamanan praktis, pemantauan output atau indikator keamanan, kemampuan keamanan inhouse, kolaborasi dengan komunitas keamanan dan penegakkan hukum, dan keamanan dengan desain yang tergabung dalam produk dan layanan," ujar Andri dalam paparannya di webinar 'How to Identify Threats Early & Securely for Your Digital Infrastructure', Selasa (13/9/2022).

Pada tips yang pertama, pemilihan frameworks keamanan praktis pada sebuah organisasi, tantangannya adalah dalam me-manage aset dari yg jumlah kecil sampai terbesar memiliki penanganan yang berbeda dan pengelolaan yang tidak sama.

Andri menekankan untuk memiliki framework yang terstruktur, logis, dan dapat diukur. Oleh karena itu, dibutuhkan framework management seperti contohnya NIST dan ISO 27001 yang dikombinasikan dengan implementasi standar teknik seperti implementasi keamanan seperti CIS dan NIST800 serta hacking framework seperti contohnya MITRE ATT&CK dan Cyberkill Chain.

"Pada tips kedua, kita harus melihat beberapa indikator namun lebih terpaku untuk memonitor pihak ketiga yang dimana DANA juga bermitra pada banyak usaha, bank, insurance, market place, dan pihak lain. Hal ini tentunya ketika mereka bermasalah tentunya bisa juga berdampak ke saya dan biasanya langsung directly impact," ungkap Andri.

Andri juga menambahkan pada tips kedua atau dalam memonitor output atau indikator keamanan diperlukan Protection Level Agreement (PLA) dan apa saja yang perlu dimonitor? Phising terhadap individu, manajemen ancaman dan kerentanan seperti patching cadence, mendeteksi tingkat cakupan dan akurasi keamanan, respon keamanan melalui Mean-Time-To-Response (MTR) untuk mengisolasi dan menemukan solusi permanen, serta pemulihan keamanan dengan kesiapan backup dalam sebuah organisasi.

"Pada tips ketiga ini, tantangan yang biasanya terjadi adalah kurangnya kejelasan kapabilitas yang perlu dikembangkan baik internal maupun eksternal dalam mengelola ketahanan keamanan," tutur Andri.

Selanjutnya pada tips ketiga yakni kemampuan keamanan inhouse, yakni dibutuhkan pengembangan kemampuan non-teknis/organisasi untuk proses yang solid dan berkelanjutan, pengembangan kemampuan teknis untuk menangani dan mengelola masalah teknis, dan menggabungkan keterampilan ini akan menciptakan diferensiasi bagi suatu organisasi dalam mengelola hasil keamanan yang efektif.

"Tips keempat, kolaborasi dengan komunitas keamanan dan penegakkan hukum adalah intinya kita harus bekerja sama karena jika kita kerja sendirian maka pekerjaan tersebut tidak akan lebih baik dan bisa saja menjadi buruk. Hal yang inisiatif dapat dilakukan dengan bergabung dan aktif berbagi di Information Sharing and Analysis Centre (ISAC)," jelas Andri.

Selain itu, Andri menambahkan, kita juga bekerja sama dengan BSSN terkait dengan penanganan insiden keamanan siber, saling berkoordinasi dengan para mitra apa yang perlu diperhatikan supaya konfigurasi dari keamanan minimun bisa terjaga.

Tips yang terakhir keamanan dengan desain yang tergabung dalam produk dan layanan, diperlukan perancangan pada perlindungan di lapisan infrastruktur digital, mempelajari aktivitas peretasan dinamis untuk menciptakan perlindungan dan deteksi yang solid melalui teknologi machine learing, artificial intelligence dari mining data, serta merancang keamanan di tingkat data, termasuk ketika data akan bocor untuk mencegah informasi asli tersebar. 


Bagikan artikel ini