Cara mengukur tingkat keamanan

Minggu lalu, saya ketemu teman lama. Ternyata dia sedang riset tentang security metrics. Menarik sekali ternyata. Dari uraian teman saya, saya menyimpulkan security metrics adalah cara mengukur tingkat keamanan sebuah sistem informasi.  Contohnya pihak manajemen kampus Tel-U  ingin mengetahui seberapa amankah sistem informasi kampus terhadap serangan cyber.  Pertama akan dilakukan pengujian sistem keamanan Tel-U (contohnya dengan penetration test) kemudian data hasil pengujian akan diolah dan akhirnya akan keluar angka yang menunjukkan tingkat keamanan sistem informasi kampus Tel-U. Misalnya dalam skala 1-10 (dengan 10 adalah sistem sangat aman dan tidak bisa ditembus penyerang) berapa skor keamanan Tel-U ? Skor ini dapat dibandingkan dengan skor security metrics institusi lain.  Sehingga pihak manajemen bisa mengambil langkah-langkah untuk meningkatkan tingkat keamanan sistem informasi Tel-U.

Kalo kita analogikan misalnya kita minta tolong polisi untuk datang ke rumah kita dan memeriksa apakah rumah kita sudah aman atau belum dari maling. Kemudian pak polisi akan memeriksa semua pintu jendela, gembok, kunci dan sistem pengaman lainnya yang ada di rumah kita. Kemudian pak polisi akan melaporkan pemeriksaannya, “baik pak rumah bapak ini ternyata belum aman, maling akan sangat mudah masuk ke rumah bapak,  level keamanan rumah bapak ada di level 5 (misalnya level 10 diberikan untuk rumah yang paling aman)“. Nilai ini nanti bisa kita bandingkan dengan nilai security metrics tetangga kita.  Atau bisa juga jadi acuan bagi kita untuk meningkatkan keamanan rumah. Misalnya untuk mencapai nilai 7 kita harus membeli security camera atau membayar preman kampung untuk nongkrong di rumah kita selama 24 jam.  Sistem penilaian ini  metoda pengukuran security metrics dengan metoda VEA-bility

Ada juga metoda lain di security metrics yang memberi pelaporan tidak dalam nilai. Tapi dalam waktu. Misalnya pada kasus polisi yang sudah memeriksa keamanan rumah kita dia, dia akan melaporkan hasilnya kayak gini : “Baik pak, saya sudah memeriksa rumah bapak. Kalo malingnya masih pemula, maka dia akan butuh 3 jam untuk menjebol rumah bapak. Tapi kalo malingnya sudah berpengalaman maka dia cuman butuh 15 menit untuk masuk ke rumah bapak“.  Yang ini nama metodanya saya lupa, MTT apa gitu. Nah ini baru 2 macam metoda pengukuran. Masih ada banyak lagi macam cara untuk mengukur security metrics ini. Bagaimana menurut anda? tertarik untuk menguji seberapa aman sistem anda menggunakan security metrics?

Silahkan tuliskan tanggapan, kritik maupun saran