Dalam melakukan konfigurasi router mikrotik untuk jaringan yang kita miliki, hal yang sangat penting dan perlu diperhatikan adalah mengenai keamanan router. Sebagai Admin jaringan jangan sampai lupa untuk melakukan proteksi atau mengamankan router dari pihak pihak luar yang tidak bertanggung jawab.

Langkah – langkah yang perlu dilakukan untuk mengamankan Router Mikrotik sebagai berikut :

1. Ganti Username dan Password Router Mikrotik
Sudah bukan rahasia lagi kalau Router Mikrotik mempunyai Username dan Password bawaan pabrik yaitu Username : Admin, dan Password : (blank). Sebaiknya Username Password default tersebut kita disable, dihapus atau kita ubah, agar tidak digunakan orang lain. Untuk menghapus dan melakukan disable User Default silakan buat terlebih dahulu User yang memiliki hak akses (group) Full. Untuk melakukan management User bisa masuk ke menu System -> Users

Selain disable, kita juga bisa membuat user baru dengan hak akses Read. Dalam memberikan hak akses Read yang perlu diperhatikan adalah jangan sampai lupa nonaktifkan (un-cek) policies “reboot”. Karena Secara default Group Read masih bisa melakukan Reboot.

2. Ubah atau Matikan Service yang Tidak Diperlukan
Service di Router Mikrotik secara default sudah terbuka, jadi kita harus mengantisipasi beberapa service yang kita gunakan untuk melakukan remote ke router. Caranya kita bisa menonaktifkan service tersebut, mengubah port defaultnya atau membatasi hanya beberapa ip address saja yang boleh akses menggunakan port tersebut.

Pengaturan ini dapat dilakukan pada menu IP �> Services

3. Non-Aktifkan Neighbors Discovery
Mikrotik memiliki protocol yang dapat melakukan broadcast domain melalui layer 2 sehingga membuat perangkat Mikrotik bisa saling menemukan jika berada di jaringan layer 2 yang sama, namanya adalah Mikrotik Neighbor Discovery Protocol(MNDP). Perangkat yang support MNDP dan CDP dapat menemukan atau mengetahui informasi router lain seperti informasi identity Router, MAC-Address,dan IP-Address. Contoh paling mudah saat kita akan melakukan winbox di tab Neighbors akan terlihat beberapa informasi Router yang terkoneksi layer 2 dengan laptop kita.

Agar Router tidak memberikan informasi tersebut, sebagai admin jaringan sebaiknya lakukan disable discovery interface. Terutama Interface yang terkoneksi langsung dengan pihak umum misalnya interface wireless untuk jaringan hotspot, interface ethernet untuk jaringan PC client warnet, dan sebagainya.

Pengaturan ini dapat dilakukan pada menu IP �> Neighbors

Tiga langkah cara mengamankan Router Diatas secara detail sudah pernah dibahas pada artikel Langkah Pertama Menjaga Keamanan Router

4. Non-Aktifkan atau Ubah Fitur MAC Server
Dengan melakukan disable pada discovery interface bukan berarti Router tidak bisa di remote menggunakan MAC-Address. Jika sebelumnya sudah menyimpan atau mengetahui MAC-Address Router, masih bisa di remote menggunakan MAC-Address. Jika menginginkan Router tidak bisa diremote menggunakan MAC-Address baik melalui Winbox ataupun via telnet, matikan Fitur MAC-Server di Router. Tools -> MAC-Server 

Atau Anda hanya ingin MAC-Winbox dari interface yang  terkoneksi dengan PC Anda saja misal Ether2. Cara melakukannya buat terlebih dahulu MAC-Winbox Interface ke Arah Ether2 selanjutnya disable interface “all”

5. Aktifkan Firewall Filter Untuk Akses Service Router (DNS dan Web Proxy)
Router Mikrotik yang kita tempatkan sebagai Gateway Utama, sering mengaktifkan fitur Allow-remote-request DNS dan web proxy. Kedua fitur tersebut bisa dimanfaatkan oleh pihak luar terutama web proxy yang kadang membuat trafik international kita sering penuh padahal tidak ada user lokal yang menggunakannya.

Untuk mengatasi hal tersebut kita harus mengaktifkan filter pada Firewall agar pihak luar tidak bisa memanfaatkan DNS kita dan Web Proxy kita. 

Jangan lupa buat juga action drop untuk trafik DNS yang menggunakan protocol udp. 

6. Non-Aktifkan Btest Server
Router Mikrotik juga memiliki fitur Btest Server, yang bisa digunakan untuk melakukan test koneksi yang sudah terbentuk. Tetapi fitur ini jika tiba-tiba di manfaatkan oleh pihak luar, Router kita di paksa untuk men-generate trafik atau menerima trafik bandwith test bisa jadi bandwidth yang kita miliki habis atau tiba-tiba CPU load kita menjadi 100%. Tentu sebagai admin jaringan tidak menginginkan hal itu, lebih baik fitur ini dimatikan.

Pengaturan dapat dilakukan pada menu Tools �> BTest Server

Artikel mengenai penggunaan Bandwidth test bisa di lihat di halaman berikut Bandwidth Test Menggunakan Mikrotik

7. Ubah pin atau Non-Aktifkan Fitur LCD
Beberapa Router Mikrotik sudah dilengkapi dengan LCD yang juga bisa digunakan untuk menambahkan perintah-perintah sederhana langsung dari LCD tersebut. Jika router yang memiliki LCD tersebut di tempatkan di tempat yang terjangkau orang banyak sebaiknya lakukan pengubahan pin atau Non-Aktifkan Fitur LCD agar orang lain tidak iseng mengotak atik router kita. Penjelasan mengenai LCD di Mikrotik bisa di lihat di Artikel Pengaturan LCD Display Mikrotik

8. Lakukan Backup secara berkala serta Enkripsi dan Ambil File backupnya
Agar tidak perlu konfigurasi ulang sebaiknya kita lakukan Backup secara berkala. Apalagi setelah selesai konfigurasi lakukan backup konfigurasi, dan jangan lupa pindahkan file backup tersebut ke PC atau laptop Anda. Untuk menjaga keamanan file backup bisa Anda lakukan Enkripsi saat akan melakukan backup konfigurasi. Untuk detailnya bisa dilihat di Artikel Backup Konfigurasi Mikrotik

9. Aktifkan Bootloader Protector
Fitur Bootloader Protector digunakan untuk melakukan proteksi terhadap gangguan fisik yang bisa saja terjadi pada routerboard terutama proteksi terhadap tombol reset yang ada di router Mikrotik. Contoh implementasinya sudah pernah kami bahas artikel Protected Bootloader

10.Amankan Fisik Router
Mikrotik adalah perangkat hardware elektronik sebagaimana perangkat elektronik lainnya yang membutuhkan perawatan Fisik seperti :

• Proteksi kabel power agar jangan terlalu sering di cabut colok
• Ruang pendingin untuk menjaga suhu perangkat mikrotik
• Perlindungan terhadap lonjangan listrik menggunakan UPS, atau yang melewati POE sebaiknya gunakan Arester.

Saat ini dengan semakin banyaknya sosialisasi tentang Industri 4.0, semakin banyak perusahaan yang melakukan transformasi digital, baik transformasi terhadap bisnis saat ini maupun membuat bisnis bisnis digital yang baru. Penggunaan teknologi informasi yang masif menuntut perusahaan agar dapat beradaptasi dengan cepat, baik dalam konteks pemenuhan sumber daya manusia, kapasitas dan kapabilitas teknologi yang digunakan, serta kegiatan / proses operasional TI. Mengelola TI, khususnya untuk perusahaan skala besar, tentunya tidak mudah dan memiliki banyak tantangan, baik dari faktor eksternal (misalnya regulasi dan kompetisi bisnis digital) maupun internal (misalnya kemampuan go to market yang cepat).

Dalam konteks tata kelola TI yang baik, teknologi bukanlah satu-satunya faktor penentu efektivitas, pengukuran kinerja, dan keberhasilan pengelolaan TI. Dalam keamanan informasi, kita mengenal istilah “human is the weakest link in cybersecurity”, faktor kapabilitas sumber daya manusia dan proses-proses internal pendukung memegang peranan yang sangat penting karena pada akhirnya, penggunaan teknologi yang optimal dan pelaksanaan proses yang efektif ditentukan juga oleh kapabilitas manusia yang melaksanakannya.

Keamanan Informasi Sebagai Bagian dari Tata Kelola TI

Selayaknya tata kelola TI (IT governance) yang diturunkan dari tata kelola perusahaan (Corporate Governance), keamanan informasi merupakan salah satu bagian dari praktik tata kelola TI yang baik. Jika mengacu pada COBIT5, sebagai salah satu framework untuk tata kelola TI, berikut adalah gambaran umum dari posisi keamanan informasi.

Pada COBIT5, keamanan informasi terdapat pada dua area proses, yaitu: APO13 Manage Security (area Planning) dan DSS05 Manage Security Services (area Operations). Jika pembaca familiar dengan COBIT5, memiliki dokumen COBIT5 Enabling, dan juga perusahaan telah menerapkan tata kelola TI yang baik, maka dalam konteks pemenuhan terhadap kebutuhan tata kelola TI, setiap area proses di COBIT5 (termasuk keamanan informasi tentunya) memiliki indikator kinerja / Key Performance Indikator (KPI). Berikut adalah beberapa contoh indikator kinerja untuk proses keamanan informasi berdasarkan COBIT5.

Perlu diperhatikan bahwa COBIT5 hanya memberikan panduan dan referensi dasar dalam penentuan indikator kinerja keamanan informasi. Tentunya penggunaan indikator kinerja (khususnya untuk keamanan informasi) tiap organisasi dapat berbeda, meskipun pada industri yang sama. Perbedaan tersebut minimal dipengaruhi oleh strategi TI, operating model, dan profil risiko organisasi dimana ketiga hal ini diturukan dari strategi bisnis dan korporasi, model operasional bisnis, dan enterprise risk. Pada dasarnya, penyusunan indikator kinerja keamanan informasi juga dapat diturunkan dari indikator kinerja TI, dimana dalam pengembangannya dapat mengacu kepada IT Balanced Scorecard.

IT Balanced Scorecard

Dalam konteks organisasi/korporasi, pada umumnya kriteria pengukuran kinerja / metrics disusun dengan mengacu pada model Balanced Scorecard yang dikembangkan oleh Kaplan dan Norton. Balanced Scorecard sendiri terdiri dari empat area perspektif, yaitu finance, customer, internal business perspective, dan learning and growth. Dalam konteks IT, menurut Win Van Grembergen, terdapat IT Balanced Scorecard yang terdiri dari empat area berikut:

Pada beberapa kesempatan, penulis pernah mendapatkan pertanyaan tentang bagaimana menyelaraskan indikator kinerja / KPI keamanan informasi terhadap bisnis. Jika perusahaan menerapkan balanced scorecard sebagai basis utama dalam penyusunan KPI, maka IT balanced scorecard dapat digunakan juga sebagai acuan dasar penyusunan KPI keamanan informasi. Berikut adalah contoh KPI dasar yang dapat diturunkan dari IT balanced scorecard.

Pertanyaan Sulit tentang Nilai/Value dari Keamanan Informasi

Dalam konteks investasi, apapun itu (termasuk IT) pasti akan muncul pertanyaan utama terkait value atau benefit investasi tersebut terhadap perusahaan, khususnya terhadap revenue, profit, dan berbagai pengukuran kinerja perusahaan yang lainnya. Saat berdiskusi dengan rekan, ada yang pernah berpendapat bahwa investasi di security itu tidak ada Return on Investment (ROI)-nya. Apakah benar? Tergantung. Selama cost to protect lebih kecil dari cost of loss / breach, berarti investasi tersebut masih oke.

Sebenernya ada beberapa pertanyaan yang muncul ketika saya berdiskusi dengan orang-orang non-IT (bahkan non-IT Security).

1. Bagaimana sih cara mendapatkan dukungan dari top management untuk program keamanan informasi kita?
2. Apakah layanan keamanan informasi yang kita berikan sudah dapat memenuhi kebutuhan bisnis?
3. Bagaimana kapabilitas kita dalam menangani insiden keamanan informasi?
4. Bagaimana mekanisme investasi dan budgeting untuk keamanan informasi?
5. Kapan investasi keamanan informasi balik modal?
6. Seberapa aman sih organisasi kita?
7. Apa saja sih yang harus dilakukan untuk mengamankan organisasi kita dari serangan siber?
8. Perlu gak sih bikin strategi keamanan informasi? IT strategic plan aja gak cukup? Kan udah mencakup keamanan informasi juga (biasanya)

Saya yakin pasti akan ada banyak pertanyaan lagi. Oleh sebab itu, menyampaikan bagaimana keamanan informasi yang ideal bagi organisasi kepada (khususnya) unit bisnis non-IT tentu menjadi tantangan sendiri. Beberapa alasannya adalah.

a. “Memanusiakan” bahasa keamanan informasi. Tantangan bagi rekan-rekan yang banyak di pengelaman teknis (tidak hanya security sebenarnya), adalah bagaimana membuat bahasa teknis IT dimengerti oleh orang non IT. Sebagian besar orang IT masih berpikir semua hal teknis dapat menyelesaikan semua masalah, padahal komunikasi yang efektif juga menjadi faktor kunci dalam menyelesaikan masalah terkait IT, khususnya keamanan informasi.

b. Sulitnya mendapatkan data/informasi yang dibutuhkan. Visibility terhadap seluruh aset organisasi menjadi hal fundamental yang sangat penting. Visibility dalam hal ini tidak terbatas pada hal terkait inventori aset IT saja, namun juga akses dalam mendapatkan, mengelola, dan menghasilkan insights kepada organisasi.

c. Beda organisasi, beda cara mainnya. Perbedaan strategi bisnis dan IT serta struktur organisasi sangat memengaruhi bagaimana pengelolaan, pemantauan, dan pelaporan atas keamanan informasi.

d. Tidak ada standar yang pakem untuk information securtity reporting. Sejauh saya tahu, tidak ada standar baku dalam melakukan pelaporan atas kinerja manajemen keamanan informasi. Ada standar keamanan informasi (misalnya ISO 27000 series), ada juga framework keamanan informasi (misal NIST), namun sulit untuk menentukan best practice yang best untuk setiap organisasi. Oleh sebab itu, biasanya saya menggunakan istilah good practice.

Dashboard untuk Keamanan Informasi

Pelaporan kinerja biasanya dalam bentuk pencapaian Key Performance Indicatior (KPI) dan metrics-nya, serta ditampilkan dalam bentuk dashboard, baik itu dalam bentuk excel file maupun menggunakan tools visualisasi. Terlepas dari bentuk penyajian dashboard, biasanya traditional dashboard berfokus hanya pada data yang didaptkan tanpa memperhatikan konteks dan kebutuhan dari stakeholder yang menjadi pengguna dari dashboard tersebut.

Penyusunan metrics yang baik dapat mendukung decision making dari top management secara baik pula. Ada sebuah rumus :

Information = Data + Value + Context

Umumnya, informasi didefinisikan sebagai sekumpulan data yang memiliki arti. Menurut saya, kita perlu menambahkan value dan context yang tepat. Dalam proses decisiong making, top management tentu butuh informasi. Tapi informasi yang seperti apa? Decision making akan efektif jika mempertimbangkan informasi yang tepat, dalam bentuk yang tepat, dan waktu yang tepat juga.

Komponen-komponen yang tepat tersebut diperlukan agar proses decision making dapat mengakomodasi:

1. Kemampuan dalam merespon perubahan dimana diharapkan proses decision making harusmempertimbangkan faktor internal dan eksternal organisasi.
2. Kemampuan dalam menyelaraskan keputusan terhadap strategi, visi, dan misi organisasi.
3. Kemampuan dalam memaksimalkan efektivitas dan efisiensi dari informasi yang didapatkan.

Metrics yang Tepat dapat Menentukan Perubahan yang Lebih Baik

Organisasi tidak dapat menunggu sampai mereka mencapai tingkat kematangan (maturity) yang diinginkan untuk mulai mengukur kinerja manajemen keamanan informasi. Berdasarkan pengalaman saya dalam menyusun strategi keamanan informasi bagi klien-klien saya, selalu muncul pertanyaan terkait pentingnya maturity dalam mengukur dan meningkatkan kapabiltas manajemen keamanan informasi di organisasi tersebut.

Seberapa penting sih maturity ???

Berbicara tentang maturity, dalam konteks apapun, banyak organisasi yang terjebak dengan angka baik current level maupun future level. Memang ada peribahasa: “you cannot manage what you cannot measure”, namun berfokus pada angka saja, tanpa memperhatikan kesiapan kapabilitas organisasi saat ini juga rasanya kurang oke. Kapabilitas dalam arti kemampuan SDM, kesiapan teknologi, budget, dan faktor-faktor lain yang perlu dipertimbangkan. Angka, dalam konteks metrics, adalah suatu keniscayaan yang mau tidak mau harus ditentukan. Menurut saya, mengukur kinerja memang harus menggunakan metrics yang tepat, namun untuk pengukuran kapabilitas, organisasi jangan hanya berfokus pada angka semata.

Apa sih manfaat metrics untuk pengukuran kinerja? Metrics dapat membantu organisasi dalam:

1. Mengidentifikasi area-area improvement yang memiliki risiko tinggi
2. Mendapatkan visibilitas ke beberapa proses internal organisasi
3. Memformaliasi fungsi dan layanan keamanan informasi dengan mengukur secara kuantitatif kinerja yang diharapkan
4. Melaporkan kinerja kegiatan operasional dan kualitas layanan keamanan informasi yang diberikan
5. Meningkatkan program keamanan informasi yang berkelanjutan dan peningkatan kinerja menuju sasaran strategis yang diharapkan oleh organisasi

Siklus Pengukuran Kinerja Keamanan Informasi

Tidak ada standar khusus yang cocok untuk semua organisasi dalam melakukan proses pengukuran kinerja keamanan informasi. Namun, dari beberapa referensi yang saya baca, kurang lebihnya siklus pengukuran kinerja dapat digambarkan sebagai berikut.

Setiap proses pasti butuh input. Tentunya dalam melakukan pengukuran kinerja keamanan informasi, strategi keamanan informasi menjadi input utama. Strategi tersebut dapat mencakup beberapa aspek, misalnya dari sisi objectives/goals, proses, layanan, dan fungsi organisasi. Strategi keamanan informasi disusun dengan mempertimnbangkan faktor internal dan eksternal, mencakup regulasi, tren industri, kebutuhan bisnis, profil risiko, dan lain-lain.

Setiap proses pasti menghasilkan output. Output dalam hal ini tentu harus memiliki nilai/value bagi organisasi, khususnya dalam melakukan decision making terhadap area keamanan informasi. Setidaknya ada tiga nilai yang diharapkan, yaitu strategic aligment terhadap strategi organisasi, adaptif dalam merespon perubahan, dan memastikan kegiatan operasional dilakukan secara efektif dan efisien.

Proses pengukuran kinerja manajemen keamanan informasi setidaknya terdiri dari empat proses utama.

1. Measure. Pemantauan dan analisis data yang relevan.

Proses ini terdiri dari proses mengumpulan data, agregasi data, korelasi data, analisis data (tren, komparasi, cross-reference dengan threat landscape eksternal, lingkungan internal, dan lain-lain), serta asesmen atas pencapaian indikator/metrics kinerja.

2. Report. Menghasilkan insights yang actionable dan implementatble atas kegiatan operational, status program, dan kondisi postur keamanan informasi.

Proses ini terdiri dari proses menghasilkan data, melaporkan metrics, aktivitas follow-up terhadap hal-hal yang menjadi perhatian lebih, prioritisasi langkah perbaikan dalam konteks target/goal yang bersifat strategis dan taktikal (short term).

3. Improve. Menerapkan keputusan top management.

Melakukan langkah perbaikan, memantau proses implementasi, memperbaiki langkah perbaikan, dan mengubah atau menyesuaikan metrics sesuai kebutuhan.

4. Maintain. Mendukung relevansi dan penerapan metrics keseluruhan program keamanan informasi.

Melakukan review dan analisis atas program keamanan informasi (terhadap strategi bisnis, strategi IT, threat landscape, dan lain-lain). melakukan identifikasi langkah peningkatan kinerja, melakukan analisis tambahan yang diperlukan, mengimplementasikan langkah perbaikan (misalnya mengembangkan metrics tambahan), dan memonitor proses implementasi.

Information Security Program sebagai Acuan Penentuan Metrics

Dalam terminologi manajemen proyek, bahasa gampangnya, program merupakan sekumpulan proyek yang sejenis atau memiliki tema yang sama. Dalam konteks keamanan informasi, program dapat diartikan sebagai framework / kerangka kerja, solusi-solusi keamanan informasi, maupun sekumpulan proyek-proyek keamanan informasi yang ditentukan berdasarkan strategi keamanan informasi. Terlepas dari definisi program yang mungkin dapat berbeda, saya menekankan perlunya suatu acuan utama (bisa dibilang juga sebagai framework) untuk dapat menyelaraskan obyektif, strategi, dan tata kelola, dan manajemen keamanan informasi terhadap strategi bisnis dan strategi IT.

Saya memiliki beberapa pengalaman dalam menyusun dan melakukan asesmen terhadap strategi dan program keamanan informasi untuk beberapa jenis organisasi. Dari beberapa pengalaman yang ada, penyusunan framework menjadi hal yang sangat fundamental dan penting bagi organisasi karena framework ini menjadi acuan bagi organisasi untuk:

1. Menentukan kapabilitas yang ingin dicapai
2. Menentukan arahan atau strategi ke depan
3. Menentukan kriteria penilaian dan pengukuran kinerja
4. Memantau proses continual improvement

Gambar 4 merupakan salah satu contoh kerangka dalam pengelolaan program keamanan informasi yang saya ambil dari beberapa framework dan pengalaman pribadi. Apakah framework di atas applicable untuk semua organisasi? Tidak juga. Tentunya setiap organisasi bisa memiliki framework yang berbeda. Memang setahu saya, ada organisasi yang menggunakan standard ISO 27001/27002 sebagai framework keamanan informasi mereka. Literally benar-benar mengacu ke sana. Tapi banyak juga yang menjadikan ISO 27001/27002 hanya sebagai salah satu referensi dalam penyunan framework keamanan informasi. Pada lain kesempatan, saya akan tulis tentang penyusunan strategi dan program keamanan informasi.

Penyusunan Metrics Keamanan Informasi

Terdapat banyak cara dalam menyusun dan menentukan metrics untuk keamanan informasi. Namun, berdasarkan pengalaman pribadi, terlepas dari teori dan referensi yang ada, terdapat beberapa hal utama yang harus dijadikan landasan utama dalam menyusun metrics keamanan informasi.

1. Strategi keamanan informasi
2. Profil risiko organisasi (risiko-risiko utama yang berkaitan dengan IT dan Keamanan informasi)
3. Regulasi
4. Kerangka / framework keamanan informasi

Tidak kalah pentingnya juga bahwa dalam penyusunan metrics keamanan informasi, perlu mempertimbangkan kapabilitas organisasi dalam mengelola keamanan informasi yang mencakup aspek people (skills and ecxperience), penguasaan teknologi saat ini, dan tentunya budget.

Contoh Metrics Keamanan Informasi

Hal ini sebenarnya menjadi pertanyaan di awal ketika membahas metrics, selain alasan atas urgensinya metrics keamanan informasi bagi organisasi. Pelaporan kinerja pada umumnya berupa dashboard dengan tujuan agar mudah untuk dipahami dan dipantau khususnya oleh top management. Tentunya dashboard berisi indikator kinerja dan metrics yang harus dicapai. Untuk membuat dashboard, tentu kita perlu isinya, yang notabene metrics. Untuk menentukan metrics, tentu kita harus menentukan dimensi atau area apa saja yang menjadi cakupan. Untuk menentukan dimensi / area yang menjadi cakupan, tentunya kita perlu memahami konteks, obyektif, dan strategi dari program keamanan informasi yang telah ditentukan.

Berikut adalah contoh area yang menjadi metrics.

Kenapa strategic projects menjadi salah satu metrics yang penting? Simple, strategic projects means high budgets, proyek besar pasti duitnya besar. Cost/biaya merupakan hal vital yang harus dikelola dengan baik. Jika kita tidak bisa menjustifikasi cost untuk investasi keamanan informasi, setidaknya kita harus memantau penggunaan budget dengan baik untuk menghindari biaya yang berlebih dan juga kurangnya penyerapan anggaran. Kemudian, kenapa insiden menjadi salah satu metrics yang penting? Karena dalam kegiatan operasional IT (juga keamanan informasi), kita pasti tidak akan luput dari insiden. Insiden pasti terjadi, pertanyaannya adalah “kapan”? Pertanyaan berikutnya adalah “apakah kita siap?”. Tidak harus semua insiden dilaporkan kepada top management. Setidaknya kita harus menentukan key/top incident yang pada umumnya ditentukan dari besarnya dampak insiden tersebut.

Kesimpulan

Keamanan informasi merupakan bagian dari tata kelola IT yang tentunya harus dikelola secara benar, efektif, dan efisien. Selayaknya kegiatan operasional dan investasi IT yang harus diukur, keamanan informasi memiliki perlakuan yang sama, yaitu harus diukur secara tepat. Pengukuran kinerja yang tepat dapat dilakukan jika organisasi memahami bagaimana proses penyusunan dan penentuan indikator kinerja (dan metrics) yang tepat serta selaras dengan obyektif organisasi. Metrics untuk keamanan informasi memiliki asosiasi yang sangat kuat terhadap strategi dan framework dari manajemen keamanan informasi. Pada lain kesempatan, saya tulis tentang bagaimana pengalaman saya dalam menyusun strategi dan mengembangkan program keamanan informasi untuk klien-klien saya.

Referensi:

1. https://sloanreview.mit.edu/article/the-trouble-with-cybersecurity-management/

2. https://assets.kpmg/content/dam/kpmg/pdf/2014/05/cyber-security-not-just-technology.pdf

3. https://securityintelligence.com/break-through-cybersecurity-complexity-with-new-rules-not-more-tools/

4. https://chapters.theiia.org/milwaukee/News/ChapterDocuments/Cyber%20Security%20and%20Insider%20Risk%201.17.18.pdf

5. https://www.ey.com/Publication/vwLUAssets/EY-cyber-program-management/$FILE/EY-cyber-program-management.pdf

6. https://www.nist.gov/publications/cyber-security-metrics-and-measures

7. https://www.securityweek.com/cisos-and-quest-cybersecurity-metrics-fit-business

8. https://assets.kpmg/content/dam/kpmg/pdf/2016/06/KPMG-connecting-the-dots-a-proactive-approach-to-cyber-security-nz.pdf

9. http://filestest.smart.pr.s3-eu-west-1.amazonaws.com/60/50f560e98811e4ba43b37df128779b/Cyber-Security-Dashboard_-Monitor_-analyse-and-take-control-of-Cyber-Security.pdf

10. https://medium.com/@proferyk/mengukur-kinerja-manajemen-keamanan-informasi-34393a832909