Kali ini saya mau share 2 presentasi pada APCERT AGM dengan tema yang mirip, yaitu Human Element in Security. Yang pertama dari Srilanka CERT dengan judul Human Centered IT Security Research for a cleaner and Greener Cyber Space. Pada presentasi ini dibahas tentang tema “Humans are the weakest link in security” . Maksudnya secanggih apapun teknologi yang kita gunakan untuk mengamankan jaringan, tetap saja teknologi tersebut dioperasikan oleh orang (Human). Dan faktor Human ini sering dilupakan dalam keamanan.
Dari hasil sebuah survey di United Kingdom diperoleh hasil 75% perusahaan disana pernah mengalami insiden keamanan yang melibatkan staffnya. Untuk itu presenter memberi saran perlu dilakukan penelitian tentang Human behavioral (kebiasaan). Penelitian ini harus memperhatikan faktor perbedaan budaya, cross cultural, demographic variations (educations, gender, dll.) Selain itu perlu dilakukan awareness dan training. Motonya “making people an essential part of cyber security strategy“. Fitur keamanan perlu diperhatikan juga tentang usability (kemudahan penggunaan).
Presentasi kedua disampaikan Philip Victor dari ISC2, judulnya Developing the human element in preventing and defending against cyber attack. Beliau menyampaikan hasil survey Mandiant M-Trends 2016, yaitu banyak perusahaan di Asia yang tidak siap menghadapi serangan cyber. Menurut Mandiant di Asia rata-rata waktu yang dibutuhkan untuk menangani serangan jaringan di Asia Pasifik adalah 520 hari. Jauh di bawah rata-rata di seluruh dunia yaitu 146 hari.
Menurut data lain dari Ponemon Institut tentang biaya yang digunakan untuk penanganan cyber crime di Jepang mencapai USD$6,81 juta dalam setahun. Sementara di Australia USD$3,47 juta setahun. Data lainnya adalah penggunaan security information and event management (SIEM) dapat menghemat biaya sebesar penanganan cyber crime sebesar US $ 1,9 juta per tahun. Bila perusahaan memiliki staff security yang handal dan tersertifikasi maka perusahaan dapat menghemat biaya penanganan serangan sebesar US $ 1,5 Juta pertahun. Sementara bila perusahaan memiliki manajer security maka dapat menghemat biaya sebesar US $ 1,3 juta pertahun.
Kemudian ditampilkan grafik tentang 16 Faktor yang mempengaruhi biaya dalam penanganan insiden keamanan. Menurut survey (ISC)2 jumlah pekerja di bidang keamanan masih sangat jurang. Menurut survey ada 3 alasan kenapa perusahaan tidak memiliki pekerja di bidang keamanan jaringan:
- Kondisi perusahaan yang belum memungkinkan untuk menambah personil di bidang keamanan
- Pimpinan belum merasa perlu memiliki personil di bidang keamanan
- Sulit untuk mendapat pekerja yang handal di bidang keamanan
Untuk mengatasi kekurangan tenaga ahli di bidang security, (ISC)2 menawarkan berbagai program sertifikasi di bidang keamanan. Ada SSCP, CISSP, CCSP, HCISPP, CCFP, CAP dan CSSLP. (ISC)2 juga memberikan beberapa jenis beasiswa, terutama untuk wanita yang ingin menguasai keamanan jaringan. Informasi lengkapnya dapat dilihat pada halaman berikut: https://www.isc2cares.org/Scholarships/
Semoga Bermanfaat!
http://www-03.ibm.com/security/infographics/data-breach/
http://iase.disa.mil/iawip/Pages/iabaseline.aspx
https://www2.fireeye.com/rs/848-DID-242/images/Mtrends2016.pdf