Membawa Perspektif Keamanan Informasi ke Level yang Lebih Tinggi
Disclaimer:
Tulisan ini adalah perspektif pribadi dari penulis yang disarikan dari berbagai pengalaman individu yang ada. Jika ada yang tidak sesuai, silakan dikembalikan ke perspektif dan pengalaman masing-masing karena tidak ada rumus yang baku dalam meniti karier di bidang IT (IT Security khususnya). Dibaca sampai akhir dulu ya :)
Intro
Artikel ini masih berkaitan dengan artikel yang pernah saya publikasi tentang Menghargai Karier (https://medium.com/@proferyk/menghargai-pilihan-karier-6a86d596c741)dan presentasi saya pada meetup-nya komunitas CDEF (http://cdef.id/11thcdefmeetup/). Saya sarankan baca artikel saya tadi dan presentasi (https://www.slideshare.net/proferyk/enterprise-cybersecurity-strategy-to-operating-model) saya dulu agar nyambung :)
Membatasi Diri
Di sebuah kesempatan ada yang pernah tanya ke saya,
“kak, baiknya kalau berkarier di IT mulai dari mana dulu?”.
Jawaban saya standar kok, mulai dari passion dan spesifik / spesialis ke salah satu bidang di IT dulu. Misalnya passion ada di bidang IT Security, pelajari apa yang mudah dipelajari dulu, baik dari sisi ilmu maupun resources yang ada. Misalnya mau belajar ngoprek firewall dan IDS. Mulai dulu dari yang open source. Pilih yang minimum requirement sistemnya sesuai kemampuan laptop/PC yang kita punya. Kalau ternyata speknya ketinggian gimana? Coba pinjem komputer kampus atau pinjam teman. Be creative :)
Sebelum kenal IT Security, dulu pas SD belajar FoxPro. Belajar yang simple aja dulu. Pas SMP/SMA (lupa), nemu tentang belajar membuat virus dan antivirus. Baru deh belajar tentang malware, baik cara analisis maupun bikin antidotnya. Untungnya PC jadul di rumah masih kuat. Ups ada yang kelewat, saat yang bersama juga belajar jadi script kiddies. Hingga akhirnya lulus kuliah, pekerjaan pertama saya adalah pentester. Awal saya masuk, saya pikir akan menjadi pentester terus. Ternyata salah. DI luar ekspektasi, malah saya belajar banyak hal. Bekerja di perusahaan global membuat wawasan saya global juga. (https://medium.com/@proferyk/kelebihan-berkarier-di-big-4-d575607426f1)
Membuka Mindset
Selayaknya anak kemarin sore yang baru freshgrad, saya menganggap menguasai pentest saja akan membuat saya ngerti segala hal teknis karena sejauh yang saya tahu, kalau jadi pentester harus mengerti semua hal teknis, misalnya harus mengerti OS, DB, network, programming/scripting, dll pokoknya yang keliatan keren kalau buka console. Ternyata saya salah. Pelajar berharga pertama saya setelah melakukan pentest adalah REPORTING. Memang target serangan kita adalah mesin, tapi yang akan memperbaiki mesin itu adalah manusia. Begitu pula yang punya budget proyek pentest ini juga manusia. Jadi kita harus bisa memanusiakan laporan pentest!
Saya tidak akan bahas detil report pentest yang bagus seperti apa. Cuma setidaknya kita harus aware, siapa yang akan baca report kita. Kalau ada tim selain IT yang akan baca report kita, pastikan ada jembatan antara bahasa teknis dan bahasa yang dipahami orang awam. Alhamdulillah sejak awal berkarier, saya sudah dapat pelajaran tersebut. Be flexible, sesuaikan juga dengan ekspektasi pembaca laporan kita nanti.
Menjadi “Jack of all trades, master of none” itu tidak salah kok
Pembaca sudah familiar dengan quote tersebut kan? Kenapa tidak ada yang salah statemen tersebut? Karena ternyata kalimatnya dipotong. Kalimat lengkapnya adalah:
“A jack of all trades is a master of none, but oftentimes better than a master of one”
Kebetulan pas meetup CDEF kemarin, materi yang saya dan dua subes undisclosed company sampaikan itu sejalan. Mau jadi CISO, tapi cuma ngertin teknis aja? Itu ada jendela silakan lompat :)
Saya sengaja menyampaikan materi tentang strategi cybersecurity karena ingin membuka wawasan rekan-rekan bahwa cybersecurity itu sangat luas, baik secara keilmuan itu sendiri maupun keterkaitan dengan bidang ilmu lain.
Saya sengaja menampilkan area mana saja yang sudah pernah saya kerjakan selama berkarier untuk menunjukkan “walk the talk”. Beberapa belum masuk ke sini.
Berbagai pengalaman pribadi yang ada, dari yang awalnya pentester hingga mengerjakan area audit, governance, risk, dan area consulting yang lain, membuat saya banyak belajar juga dari klien dan rekan-rekan sekantor. Dari klien, saya belajar banyak terutama dari personel yang jauh lebih berpengalaman dari saya dan lebih memahami industrinya. Dari rekan-rekan sekantor, kadang saya proyek dengan tim yang memiliki latar belakang pengalaman yang berbeda-beda, sehingga saya banyak mendapatkan insight dari mereka. Di luar itu, masih ada pengalaman non-IT lainnya yang mungkin saja masih relevan dalam membantu saya untuk mengembangan strategi keamanan informasi.
Itu belum termasuk aktivitas-aktivitas business development yang menurut saya sangat bermanfaat untuk memperkaya wawasan saya, khusunya untuk bagaimana menjual solusi yang tepat, memahami tren bisnis (khusunya bisnis di bidang Keamanan Informasi), dan lain-lain yang tidak bisa saya sebutkan semua. Jika pembaca ada yang jangka panjang ingin menjadi konsultan IT, bisa baca juga tulisan saya ini: https://medium.com/@proferyk/mengapa-konsultan-it-harus-memiliki-banyak-keahlian-6076150ff3c9
Oia, menurut saya memahami industri dari klien (jika kita seorang konsultan) itu cukup penting. Bagi orang IT Security, tidak harus memahami proses sampai detail. Setidaknya, at least banget nih, mengerti Crown Jewels dari proses bisnis di suatu industri, khususnya di perusahaan terkait. Sebagai contoh saat meetup CDEF, saya berikan sekilas gambaran tentang industri pelabuhan.
Tergantung dari tipikal proyek yang dikerjakan, jika melihat gambar di atas, sebagai praktisi IT Security setidaknya kita memahami core processes di pelabuhan itu seperti apa. Proses penambatan kapal (berthing), bongkat muat, transfer muatan, warehousing itu secara umum gimana sih. Kemudian dari situ kita bisa identifikasi aset-aset terkait IT (terutama yang kritikal) itu apa saja. Lebih jauh lagi, jika pendekatannya process-based, kita bisa identifikasi data flow antara proses. Potensi risiko dari setiap proses yang menggunakan IT sebagai support itu apa saja, surrouding system dari pihak luar yang terkoneksi ke internal itu apa saja, dan lain sebagainya.
“Talk is cheap, show me your code” hanya berlaku untuk kondisi tertentu
Saat masih punya banyak (banget) waktu untuk ngoprek, saya selalu beranggapan bahwa berbicara hal non teknis itu cupu. Ternyata saya salah!! Dengan berbagai pengalaman yang ada, saya jadi lebih memahami mengapa kebanyakan seminar itu membahas hal-hal yang umum, sedangkan kalau mau teknis ya bisa ikut workshopnya. Coba bayangkan, kita disuruh presentasi tentang cybersecurity di depan para senior management berbagai perusahaan. Masih mau kasi liat script / code kita?
Pengalaman dalam business development dan mengerjakan proyek-proyek yang berkaitan dengan strategi, risk, governance, dan compliance membuat saya lebih memahami bagaimana bahasa yang halus dan dapat diterima oleh senior management. Saya banyak belajar hal ini dari mentor-mentor saya selama berkarier. Thanks para sensei :)
Namun, sebagai praktisi keamanan informasI yang masih mengerjakan hal teknis, tentunya saya tetap harus “ngoprek”. Saya juga kadang suka mengingatkan rekan-rekan (khususnya) yang background awalnya bukan di IT Security (misalnya IT auditor) untuk tetap mengerti hal teknis. Misalnya, saat melakukan IT General Control Audit. Salah satu area audit adalah Access to Program and Data (APD). Salah satu komponen yang dicek adalah konfigurasi password, pengelolaan super user, otorisasi user yang masuk grup sudo, dan lain-lain. Saya pernah presentasikan ini di salah satu meetup (https://www.slideshare.net/proferyk/cybersecurity-in-financial-audit-perpective-it-general-control). Ada saatnya temen-temen IT Audit ini membantu saat ada proyek tekait host configuration review. Nah saat melakukan host configuration review, tentunya IT auditor harus menambah wawasan terkait area auditnya, misal memahami daftar kontrol yang tercantum di CIS Benchmark.
Ubah Bahasa Teknis ke (setidaknya) Bahasa “Risk”
Dalam presentasi kemarin, saya sempat sebutkan bahwa cara yang lebih efisien dalam menyusun strategi cybersecurity adalah dengan pendekatan risk-based, dibandingkan dengan maturity-based. Risk-based lebih presisi ke risiko utama yang memang harus dimitigasi sampai ke level yang bisa diterima (risk acceptance). Maturity-based itu bagus untuk mengumpulkan lebih banyak informasi, tapi sayangnya akan butuh biaya yang lebih besar untuk mencapai level maturity tertentu (biasanya 3).
Dalam kesempatan yang lain, saya sempat juga mengenalkan sedikit konsep 3 Lines of Defense (3LOD).
Saat kita berada diposisi IT Security atau bagian IT yang lainnya, kita berada di 1st Line. Bisa dibilang, 1st Line adalah bagian yang menjalankan operasional bisnis. Di 2nd Line, ada temen-temen dari Risk Management (RM). Tim RM ini bisa dianggap sebagai konsultan risiko bagi 1st Line. 2nd Line memegang peranan yang cukup penting dalam menjembatani antara IT Security dengan level yang lebih tinggi (misalnya direksi). Untuk fungsi yang bersifat assurance, tentunya 3rd Line (Internal Audit) yang memiliki peran.
“Kan sudah ada 2nd Line yang bantu membuat bahasa “risk”, buat apa 1st Line harus aware terhadap hal tersebut?”
Dalam beberapa kondisi, bisa jadi kita akan langsung berhadapan dengan Top Management tanpa perantara 2nd Line. Sebagai contoh, pada suatu proyek, laporan pentest saya dipresentasikan ke Divison Head dari aplikasi yang dipentest. Tentunya sebagai orang non-IT, tidak mungkin kita jelasin SQL Injection dan XSS itu apa. Pastinya, kita akan menggunakan bahasa yang mudah dimengeri baik saat menjelaskan deskripsi temuan maupun dampak dari temuan tersebut. Perlu dicatat bahwa user non-IT, kebanyakan akan fokus pada risiko keuangan, operasional, dan reputasi.
2 Line of Defense (2LOD) untuk Cyber Security
Ada suatu konsep menarik yang diperkenalkan oleh KPMG bahwa ternyata cybersecurity pun punya model 2LOD, yaitu Cyber Security dan Cyber Risk. Saya kutip dari https://advisory.kpmg.us/articles/2018/tcrm-pov.html, dari sini terlihat bahwa cybersecurity pun bisa seperti “IT”. IT operations, IT risk management, dan IT audit idealnya berada di layer yang berbeda, meskipun kemungkinan besar masih digabung. Idealnya, IT Operations adalah 1st Line, IT Risk Management adalah 2nd Line (biasanya di bawah OpRisk), dan IT audit adalah 3rd Line (di bawah Internal Audit). Dalam hal ini, Cyber bisa dibagi jadi 2, yaitu Cyber Security (1st Line) dan Cyber Risk (2nd Line).
1st LOD sifatnya lebih ke penerapan kontrol, standar, dan prosedur terkait security, serta pengukuran kinerja dalam bentuk KPI dan metrics. 2nd LOD lebih fokus ke kepatuhan terhadap regulasi dan standar yang harus dipenuhi oleh perusahaan, serta pengukuran dalam bentuk KRI dan kuantifikasi risiko. Di artikel ini saya tidak akan bahas perbedaan dan cara menyusun KPI dan KRI seperti apa. Cara kuantifikasi risiko juga tidak dibahas. Di lain kesempatan saya akan tulis tentang risk quantification.
Jika disimpulkan, 1st LOD berfokus pada proses proteksi, deteksi, monitoring, dan response. 2nd LOD berfokus pada manajemen risiko yang terkait cyber security.
Technical skill YES, Strategic thinking IMPORTANT
Sebelum dan saat terekspose ke proyek-proyek yang bersifat Strategy, Architecture, Governance, Risk, dan Compliance, saya juga ditugaskan ke proyek-proyek yang bersifat teknis, misalnya pentest, configuration review, dan implementasi tools. Saya setuju, technical skill seorang praktisi IT Security harus selalu terasah. Namun, JIKA kita memiliki tujuan jangka panjang untuk menjadi praktisi yang Versatilist atau Generalist, atau ingin menjadi CISO, tentunya haram hukumnya membatasi kemampuan dan pengalaman kita di satu bidang yang spesifik. Menjadi CISO atau “Security Leader” tidak cukup dengan hanya memahami sisi teknis suatu teknologi security. Hal-hal yang saya sebutkan di atas, plus kemampuan dan pengalamanan non-teknis wajib hukumnya untuk dimiliki.
Area cyber security itu banyak banget. Karena tadi membahas cyber risk, berikut contoh area-area yang terkait cyber risk.
Cukup banyak bukan? :)
Membawa Cyber Security ke Level yang lebih Tinggi
Jika menjadi the next Cyber Security Leader adalah impian kita, tentunya butuh proses yang tidak sebentar untuk membentuk karakter dan perspektif yang tepat untuk membawa cyber security ke arah yang lebih baik. Lebih baik dalam arti mendapat dukungan penuh dari Top Management (khususnya budget) dan tim yang kita pimpin tumbuh, baik secara jumlah dan kapabilitas.
Memang saat ini ada sertifikasi dan pendidikan khusus yang dapat mendukung wawasan kita untuk menjadi the next Cyber Security Leader. Namun, tentunya akan kurang optimal jika tidak disertai pengalaman yang relevan. Kenapa pengalaman yang relevan itu penting? Karena saya temui, ada juga Cyber Security Leader yang tidak memiliki background yang proper di bidang Cyber Security. Banyak juga “CISO nanggung”, dalam artian menggunakan title CISO tapi posisinya masih beberapa level di bawah Head IT / Direktur IT / Direktur Operasional dan IT.
Dashboard sebagai Jendela Dunia Cyber Security
Saya yakin, bagi technical person, dashboard hanyalah permainan gambar saja. Jika kita masih berpikir seperti itu, berarti kita belum siap untuk menjadi the next Security Leader. Kenapa saya katakan begitu? Karena kalau berbicara dengan manajemen IT di beberapa tempat, dashboard ini jadi alat yang cukup efektif untuk menyambung komunikasi antara level operasional ke level yang lebih strategic. Value dari sebuah dashboard bukan dari cakep tidaknya desain dashboardnya, namun dari “journey” yang dilalui untuk menyusun KPI/KRI dan metrics yang divisualiasikan dalam bentuk dashboard. Saya tidak bahas di artikel ini, silakan baca artikel saya tentang Cyber Dashboard. https://medium.com/@proferyk/cyber-dashboard-visualisasi-untuk-postur-keamanan-informasi-547fa5c21cd6
Kesimpulan
Saya sudah berikan clue dalam pengalaman-pengalaman yang selama ini sudah saya lalui. Ada beberapa area kunci yang perlu dikuasai untuk dapat menjadi the next Cyber Security Leader yang terbaik menurut versi organisasi masing-masing. Jika mengacu pada pengalaman pribadi, baik dalam konteks saat melakukan business development (buat jualan solusi dan service cyber) dan project delivery (teknis dan non-teknis), area cyber security ini banyak banget.
Jangan hanya berfokus pada suatu area atau bidang yang spesifik (kecuali memang ingin menjadi specialist, tidak ada yang salah kok). Mulailah berpikir suatu solusi, terutama yang paling dibutuhkan oleh organisasi. Cyber security tidak hanya sekedar pentest, implementasi tools, security analysis and monitoring, dan hardening, namun banyak sekali area-area yang dapat di-explore.
Last but not least, untuk menaikkan cyber security ke level yang lebih tinggi, bawalah perspektif kita ke level dimana Top Management dapat memahami “bahasa” kita :)
Semoga artikel ini bermanfaat dan membuka wawasan para pembaca. Terima kasih :)
Salam,
