Security as an Investment (Jarot S Suroso)

27 May 2023

Investasi terhadap keamanan jarang sekali menghasilkan keuntungan secara langsung khususnya terhadap ROI, sebaliknya investasi terhadap security dilakukan untuk mengurangi kerugian. Hal tersebut dapat dikatakan seperti asuransi, investasi terhadap security bertujuan untuk mencegah ataupun mengurangi kerugian akibat resiko yang tidak dikelola, akan tetapi hal tersebut tidak pernah secara langsung memberikan keuntungan untuk dapat diukur.

  • Security Metrics

Pembentukan metriks sebagai salah satu cara bagaimana fungsi kemanan meningkat dari waktu ke waktu, maka pengukuran yang baik dari titik awal yang dapat dijadikan sebagai tolak ukur. Dalam pembuatan security metrics beracuan terhadap nilai aktivitas dan upaya yang dilaporkan. Pilih tiga hingga empat metrik yang berbeda guna dilaporkan dan fokus pada peningkatannya dari kuartal ke kuartal.

Akan memungkinkan menghabiskan banyak waktu dan sumber daya untuk menerapkan kontrol keamanan pencegahan yang baru dan kemudian ingin menunjukkan keefektifannya. Terkadang, sama pentingnya untuk melaporkan kepada manajemen tentang apa yang tidak diselesaikan sehingga mereka memahami sejauh mana tim memiliki kekurangan staf ataupun seberapa banyak teknologi yang diperlukan untuk mengotomatisasi beberapa pekerjaan. Hal ini disajikan dengan bijaksana, agar tidak terkesan sebagai keluhan.

Metrik juga dapat membantu jika akurat dan terakumulasi dari waktu ke waktu, jadi penting untuk mencatat data ketika ingin memiliki harapan untuk menarik kesimpulan yang berarti. Pastikan juga untuk mengingat metrik dan pelaporan saat mengembangkan manajemen resiko untuk organisasi/perusahaan. Tim kerja security perlu untuk diselaraskan dengan tujuan organisasi. Semua tujuan tahunan tim tersebut harus langsung dapat dipetakan dan mendukung tujuan bisnis organisasi/perusahaan yang telah dibentuk. Setiap organisasi/perusahaan harus menentukan cara terbaik untuk memberikan pandangan kepada manajemen tentang resiko organisasi saat ini, tanpa memberikan informasi yang berlebihan.