Logo
Cybersecurity

Menghitung Biaya Pengamanan Bisnis Anda

Ketika Anda sedang mempertimbangkan biaya untuk mengamankan bisnis Anda, sebaiknya pahami terlebih dahulu mengenai perbedaan karakteristik solusi internal dengan MSSP.

|
Jul 10, 2023
Menghitung Biaya Pengamanan Bisnis Anda

Seiring bertambah pentingnya keamanan informasi secara strategis bagi organisasi berukuran besar maupun kecil, serta bertambah kompleksnya keamanan informasi bagi organisasi di industri apapun, keputusan strategis bisnis semakin didorong oleh kebutuhan untuk mengamankan kekayaan intelektual mereka dan melindungi infrastruktur TI mereka dari ancaman cybersecurity yang terus berkembang. Proses mengamankan catatan pelanggan, melindungi informasi keuangan rahasia dan mematuhi persyaratan peraturan, hukum, dan kepatuhan dapat memberikan tekanan besar bagi pembuat keputusan TI dan bagi sumber dayanya. Selama ini, banyak organisasi melakukan outsourcing untuk elemen kritis dalam pekerjaan TI mereka kepada pihak penyedia managed service, tetapi semakin banyak bisnis yang mulai secara proaktif mengalihdayakan fungsi keamanan mereka ke penyedia layanan keamanan informasi khusus, sehingga saat ini seringkali dibutuhkan adanya evaluasi manfaat dari outsourcing elemen keamanan dan membandingkannya dengan mengelola proses keamanan ini secara internal. Saya menulis artikel ini untuk membantu para pemimpin bisnis memahami cara berpikir terbaik tentang Managed Security Service Providers (MSSP adalah penyedia layanan keamanan terkelola) dalam konteks TCO (total cost ownership atau biaya kepemilikan), sebuah subjek yang sering dibahas dan diminati baik oleh pimpinan di bidang teknis maupun pimpinan di bidang non-teknis.

Solusi Internal atau Outsource?

Kunci untuk mengevaluasi MSSP dalam konteks TCO adalah memahami konsep Core vs Context (inti vs konteks), sebuah perbedaan penting yang memisahkan kegiatan bisnis menjadi dua kategori yang jelas dan logis. Sederhananya, kegiatan dalam bisnis Anda yang menciptakan diferensiasi dari sudut pandang pelanggan Anda termasuk dalam kategori “inti”, semua hal lain yang dilakukan bisnis Anda secara operasional agar tetap bekerja dalam bisnis termasuk dalam kategori “konteks”. Bisnis menggunakan pengkategorian seperti ini untuk membantu mereka membuat keputusan outsource, biasanya kegiatan inti yang memiliki kontribusi langsung terhadap keunggulan kompetitif suatu bisnis harus ditangani secara internal, sedangkan kegiatan konteks yang menyediakan dukungan operasional diserahkan kepada outsource. Bisnis melakukan hal ini agar dapat berfokus pada hal yang paling penting bagi mereka (yaitu hal yang memberikan diferensiasi dari para pesaing dan berfungsi untuk meningkatkan margin keuntungan mereka) di saat bersamaan mereka menyerahkan aspek operasional biasa dari bisnis (yaitu pekerjaan umum yang tidak benar-benar membantu diferensiasi bisnis) kepada pihak outsource diantaranya kepada MSSP (penyedia layanan yang dikelola), sehingga dapat menurunkan biaya yang mereka keluarkan dalam proses tersebut. Yang menjadi poin utama dalam pembuatan keputusan tersebut adalah pertimbangan keuangan dan pertanyaan dasar seperti “apakah biayanya lebih mahal untuk mengelola pekerjaan tersebut secara internal daripada biaya untuk melakukan outsource pekerjaan kepada penyedia layanan tepercaya”. Seiring meningkatnya kompleksitas keamanan informasi dari waktu ke waktu (membutuhkan manajer cybersecurity yang berpengalaman) dan dilatarbelakangi tekanan anggaran yang semakin ketat, banyak bisnis mengajukan pertanyaan ini agar dapat menemukan solusi keuangan terbaik dalam pengelolaan TI dan cybersecurity mereka. Seringkali analisis (TCO) semacam ini semakin banyak mendorong bisnis ke arah memanfaatkan penggunaan penyedia layanan keamanan terkelola yang berpengalaman dan tepercaya untuk mengelola cybersecurity bagi mereka. Mengevaluasi outsourcing pekerjaan menggunakan pendekatan “inti versus konteks” bukan merupakan konsep baru, tetapi dasar untuk mengevaluasinya lah yang merupakan hal baru. Satu dekade yang lalu pengambilan keputusan solusi internal versus outsource didorong oleh kebutuhan untuk mengeluarkan biaya teknologi informasi dan sumber daya manusia yang semakin meningkat dari pembukuan perusahaan, memindahkannya dari akun modal ke akun biaya operasional. Tetapi sekarang fokusnya adalah memberikan layanan TI, salah satunya adalah cybersecurity, dengan tingkat keahlian tinggi tetapi hemat biaya. Pergeseran ke arah outsourcing fungsi-fungsi penting cybersecurity merupakan bagian dari strategi keamanan informasi di banyak organisasi, sebuah strategi yang didorong oleh kebutuhan untuk memberikan layanan cybersecurity dengan efektivitas biaya, memberikan akses bagi bisnis Anda pada para profesional dengan keahlian khusus yang dapat menghabiskan biaya cukup besar jika Anda mempekerjakannya, kebutuhan operasional seperti pengawasan cybersecurity selama 24 jam dan 7 hari dan tentu saja kebutuhan akan adanya biaya yang dapat diprediksi jika dibandingkan dengan biaya solusi internal yang tidak dapat diprediksi. Ketika melakukan evaluasi manfaat finansial dari penggunaan penyedia layanan untuk mengelola fungsi cybersecurity Anda, pembuat keputusan juga harus memahami bahwa selain adanya biaya langsung, juga terdapat biaya tidak langsung untuk mengelola tugas keamanan tersebut. Meskipun perhitungan biaya langsung untuk pengelolaan cybersecurity Anda dapat dilakukan dengan mudah, perhitungan biaya tidak langsung kadang-kadang bisa menjadi tugas yang sulit, namun demikian biaya tidak langsung harus menjadi bagian penting dari proses evaluasi keamanan dengan solusi internal agar dapat membuat perbandingan yang akurat. Para pimpinan bisnis perlu memahami keseluruhan biaya dari operasi cybersecurity mereka dan disinilah sering terjadi kesalahan perhitungan analisis TCO. Satu-satunya cara efektif untuk menjalankan analisis TCO yang akurat adalah organisasi bisnis harus menghitung biaya sebenarnya secara komprehensif. Hal ini tidak terbatas hanya pada perhitungan "biaya untuk mengamankan bisnis kami adalah X", tetapi juga meletakkannya dalam konteks bisnis dan memahami harga per email yang dipindai, atau biaya untuk mengamankan setiap transaksi pelanggan.

Biaya Cybersecurity

Mengerjakan perhitungan biaya cybersecurity saat ini jauh lebih sulit daripada di masa lalu karena cybersecurity sudah melekat di dalam operasi bisnis dan menyatu di dalam keseluruhan infrastruktur TI Anda, sehingga jauh lebih sulit untuk menghitung TCO dengan benar. Analisis TCO yang seimbang untuk operasi cybersecurity harus mencakup hal-hal berikut:

Biaya Karyawan – Penelitian terbaru menunjukkan bahwa hingga 40% organisasi bisnis tidak puas dengan investasi yang mereka tanamkan dalam teknologi cybersecurity mereka karena mereka tidak mempekerjakan karyawan spesialis dalam jumlah yang mencukupi untuk dapat meningkatkan bisnis secara efektif. Bagi organisasi bisnis sekelas perusahaan pada umumnya, manajemen dan pemantauan cybersecurity saja memerlukan minimal lima engineer dan analis cybersecurity penuh waktu, setara dengan sekitar US$500,000 dalam bentuk biaya gaji langsung (berdasarkan standar gaji pokok rata-rata seorang administrator keamanan). Kemudian Anda harus memperhitungkan biaya tambahan seperti pelatihan, ruang kantor, pajak dan tunjangan, yang biasanya setara dengan 50% biaya tambahan diluar biaya gaji. Kemudian Anda harus mempertimbangkan bahwa tingkat turnover rata-rata untuk staf TI (termasuk staf keamanan TI) adalah 18 bulan, sehingga memaksa Anda untuk memperhitungkan biaya perekrutan dan kemudian melatih orang baru untuk menggantinya. Banyak organisasi bisnis kemudian memindahkan aktivitas cybersecurity mereka ke MSSP untuk menghindari biaya-biaya tersebut dalam jangka panjang.

Biaya Infrastruktur – Bisnis Anda mungkin akan selalu membutuhkan infrastruktur TI dalam bentuk security hardware, server dan penyimpanan, tetapi dengan memanfaatkan MSSP Anda dapat menghilangkan biaya-biaya tersebut untuk jangka panjang. Bisnis Anda tidak lagi akan memerlukan biaya pembelian, pemasangan dan pengelolaan security monitoring dan infrastruktur manajemen, karena biasanya MSSP Anda sudah melakukan investasi tersebut untuk kepentingan pelanggan mereka dan juga sudah menggunakan teknologi keamanan terbaru. MSSP yang baik juga akan mencari cara untuk dapat mengintegrasikan teknologi-teknologi tersebut dengan teknologi lain di berbagai platform software dan hardware yang berbeda dan seringkali tidak kompatibel. Mereka juga akan melakukan investasi dalam jumlah yang signifikan ke dalam environment manajemen mereka sendiri dan membangun pusat operasi keamanan siber atau Cybersecurity Operation Center (CSOC) untuk mendukung pekerjaan mereka dan agar pelanggan mereka tidak perlu melakukan investasi tersebut.

Biaya Compliance (Kepatuhan) – Salah satu keuntungan terbesar dari bekerjasama dengan MSSP adalah dapat mengurangi waktu dan usaha yang dibutuhkan untuk memenuhi persyaratan kepatuhan karena otoritas regulator memperhitungkan proses dan kontrol pengaturan yang dibuat oleh MSSP saat dilakukan audit. Anda dapat menganggap MSSP sebagai cara untuk menggunakan biaya secara efektif untuk mendapatkan kontrol kepatuhan yang diminta oleh regulasi keamanan yang mengatur bisnis Anda dan biasanya MSSP telah mengetahui dan mempersiapkan persyaratan-persyaratan yang dimaksud, dapat menyediakan pengetahuan dan panduan yang jauh melebihi pengetahuan dan pengalaman yang dimiliki oleh karyawan Anda sendiri. Dengan menggunakan MSSP dan layanannya seperti ini, sebuah bisnis dapat mencapai standar kepatuhan sesuai regulasi dengan cepat dan mudah.

Biaya Insiden – Ketika bisnis berpikir tentang cyberattack, praktik terbaik adalah dengan cara merencanakan serangan tak terhindarkan yang akan datang suatu hari, jika memang serangan tersebut belum terjadi. Pertanyaan yang harus diajukan adalah “kapankah serangan tersebut akan datang”, dan bukan pertanyaan “apakah mereka akan menyerang”. Bisnis yang memiliki perencanaan masa depan mengakui bahwa suatu saat mereka akan terganggu dengan hal itu sehingga mereka harus mempersiapkan diri untuk menghadapi kemungkinan terburuk. Selain tujuan utama untuk mempertahankan perimeter mereka dari serangan, fokus utama dari upaya cybersecurity mereka adalah kemampuan untuk merespon serangan ketika terjadi. Yang menjadi masalah adalah mempertahankan postur seperti ini membutuhkan investasi dalam jumlah signifikan dan kontinyu atas orang-orang yang memiliki keterampilan dan sertifikasi khusus, hanya agar Anda dapat terus mengikuti perkembangan lanskap cybersecurity yang terus berubah. Karena MSSP bekerjasama dengan berbagai klien, mereka sudah mempekerjakan orang-orang dengan kualifikasi tersebut dan berpengalaman luas dalam merespon dan memperbaiki kondisi jika terjadi insiden cybersecurity.

Keuntungan Menggunakan MSSP

Keuntungan utama menggunakan MSSP terdiri dari faktor biaya dan kapabilitas. MSSP menyediakan layanan cybersecurity dengan biaya lebih rendah daripada yang dapat Anda berikan sendiri secara internal, di saat yang sama juga meningkatkan secara drastis kapabilitas Anda dengan adanya tenaga ahli yang berpengalaman.

Biaya – Ketika Anda membandingkan keseluruhan biaya yang diperlukan untuk mengelola cybersecurity Anda sendiri secara internal terhadap tagihan MSSP dengan biaya yang nilainya biasanya dapat diprediksi dan dikeluarkan per bulan, hasilnya akan terlihat bagus di atas kertas bahwa biaya MSSP pada umumnya menunjukkan penghematan biaya yang jelas. Dalam beberapa kasus, yang tergantung pada kapabilitas internal Anda untuk mengelola cybersecurity Anda sendiri, MSSP menawarkan penghematan biaya yang signifikan bila dibandingkan dengan membangun kapabilitas Anda sendiri secara internal. Kunci untuk membuka nilai ini dari hubungan kerjasama dengan MSSP terletak pada kemampuan MSSP untuk memberikan layanan yang Anda butuhkan dengan biaya yang jauh lebih rendah daripada jika Anda sendiri yang memberikan layanan yang sama. Manfaat menggunakan MSSP bisa menjadi sangat besar, baik dalam hal penghematan biaya sebenarnya dan juga dengan memberikan kesempatan bagi staf internal untuk fokus pada kegiatan yang lebih dekat berhubungan dengan kompetensi inti perusahaan. Karena biaya MSSP berbasis langganan, maka tidak berdampak pada anggaran modal Anda dan banyak manajer merasa lebih mudah untuk mendapatkan persetujuan untuk biaya operasional (OPEX) daripada biaya modal (CAPEX).

Kapabilitas – Selain penghematan biaya, keuntungan utama menggunakan MSSP adalah untuk menutup kekurangan kapabilitas dalam organisasi Anda, Anda tidak perlu mengusahakan sendiri kapabilitas yang Anda butuhkan, Anda cukup merekrut MSSP yang sudah memiliki kapabilitas tersebut. Karena pengalaman dan basis pelanggan yang beragam, MSSP akan sangat mampu menangani misi cybersecurity rutin untuk melindungi jaringan dan infrastruktur Anda dari penjahat dan tetap menguasai firewall Anda, menangani deteksi dan perlindungan dari intrusi, dan ratusan hal lainnya yang secara keseluruhan membangun postur cybersecurity Anda. Jika bisnis Anda membutuhkan pemantauan dan jangkauan 24 jam 7 hari, langkah yang lebih masuk akal adalah dengan menyewa MSSP untuk memberikan kapabilitas mereka daripada mempekerjakan orang yang Anda butuhkan untuk memberikan tingkat kapabilitas yang sama secara internal. MSSP memungkinkan Anda untuk meningkatkan pengalaman dan keahlian kolektif dari tenaga kerja mereka sendiri yang biasanya memiliki berbagai keahlian dan sertifikasi khusus cybersecurity, mereka juga akan berinvestasi besar-besaran dalam pelatihan berkelanjutan bagi orang-orang itu. Tenaga spesialis MSSP memiliki posisi yang jauh lebih kuat untuk mengelola cybersecurity Anda daripada staf internal yang dipekerjakan langsung oleh organisasi bisnis.

Kesimpulan Keuntungan – Dengan sebagian besar bisnis berada dalam tekanan anggaran untuk memproduksi hasil lebih besar dengan biaya lebih sedikit, dan dengan banyaknya bisnis yang mencari cara untuk memaksimalkan nilai investasi keamanan mereka, banyak organisasi bergerak ke arah model managed service untuk memberikan berbagai fungsi cybersecurity. Jika hubungan kerjasama dengan MSSP dikelola dengan benar, maka organisasi TI mendapatkan manfaat dari kepemilikan kapabilitas terbaik yang tersedia bagi mereka dengan sistem “sewa", hal tersebut lebih baik daripada harus meminta staf tambahan pada CFO atau eksekutif senior lainnya dan kemudian harus menanggung risiko perampingan tenaga kerja saat terjadi masa sulit dalam siklus bisnis. Fleksibilitas keuangan semacam itu merupakan sesuatu yang sangat menarik dalam iklim ekonomi apa pun.

Share this post

You may also like

Panduan Mengenai CSOC
Cybersecurity

Panduan Mengenai CSOC

CSOC adalah akronim untuk Cyber Security Operation Center (Pusat Operasi Keamanan Siber), tetapi hal ini sedikit membingungkan karena tim CSOC juga dapat disebut sebagai Computer Security Incident Response Team (CSIRT) atau Tim Respons Insiden Keamanan Komputer, Computer Incident Response Center (CIRC) atau Pusat Respons Insiden Komputer, Security Operations Center (SOC) atau Pusat Operasi Keamanan, serta disebut Computer Emergency Response Team (CERT) atau Tim Respons Gawat Darurat Komputer. Untuk kepentingan artikel ini, kita akan tetap menggunakan istilah CSOC. CSOC bekerja dalam urusan pertahanan untuk menghadapi aktivitas tidak sah yang terjadi pada jaringan strategis dan kegiatan yang termasuk di dalamnya adalah: pemantauan, deteksi, analisis, serta kegiatan respons dan restorasi. CSOC adalah tim yang terdiri dari analis keamanan jaringan yang diorganisir untuk pekerjaan mendeteksi, menganalisis, merespons, melaporkan, dan mencegah insiden keamanan jaringan selama 24 jam, 7 hari dalam seminggu, dan 365 hari dalam setahun. Terdapat berbagai jenis CSOC yang dikelompokkan berdasarkan model organisasional dan operasional mereka, bukan berdasarkan seperangkat kemampuan utama mereka, jadi mari kita dalami dan melihat lebih dekat berbagai jenis CSOC. CSOC VIRTUAL Nama

|
Jul 10, 2023 9 minutes read
Empat Alasan Kuat Menggunakan MSSP
Cybersecurity

Empat Alasan Kuat Menggunakan MSSP

Terlalu banyak tantangan yang harus dihadapi merupakan alasan utama sebagian besar organisasi saat ini beralih ke managed security service provider (MSSP), atau penyedia layanan pengelolaan keamanan, agar dapat membantu mereka dalam mengatasi hal tersebut. Tantangan dalam memperkuat sumber daya manusia, proses, dan teknologi Anda sebagai upaya untuk mengamankan kekayaan intelektual dan data mereka dengan tepat, serta tetap mematuhi peraturan cybersecurity bisa menjadi tugas yang berat pada saat yang terbaik, bahkan meskipun ditangani oleh departemen IT yang terkelola dengan baik. Dengan pertimbangan ini, maka berikut merupakan empat alasan utama saya lebih memilih MSSP daripada in-house security. MENGGUNAKAN MSSP MENGHEMAT UANG ANDA Membangun, menjalankan, dan memelihara ekosistem cybersecurity membutuhkan banyak biaya. Salah satu penyebabnya yaitu banyak solusi yang diberikan oleh perangkat lunak memerlukan perangkat keras dan peralatan khusus untuk menjalankannya, dan biasanya datang bersama biaya lisensi yang berulang. Selanjutnya yang membuat biaya meningkat adalah gaji karyawan cybersecurity serta biaya pelatihan yang mereka butuhkan agar dapat memanfaatkan alat dan teknologi baru dengan tepat. Keindahan dalam menggunakan MSSP yang sangat disukai CFO pada anggaran mereka adalah

|
Jul 10, 2023 5 minutes read
Lima Ancaman Besar Cybersecurity Terhadap Pemilik UKM
Cybersecurity

Lima Ancaman Besar Cybersecurity Terhadap Pemilik UKM

Menurut Laporan Investigasi Pelanggaran Data Verizon baru-baru ini, selama dua tahun terakhir, bisnis ataupun usaha kecil-menengah telah menjadi sasaran utama para penjahat dunia maya (cybercriminal) dan kini lebih terkena dampak dari pelanggaran cyber dibandingkan bisnis-bisnis berskala besar. Serangan cyber terhadap UKM meningkat, sebab utamanya cybercriminal sudah memprediksi bahwa usaha kecil-menengah memiliki sumber daya yang lebih sedikit untuk dicurahkan pada keamanan mereka. Sebagian besar usaha kecil-menengah tidak memiliki tenaga profesional keamanan yang berdedikasi, mereka terlalu kecil untuk menanggung biayanya dan hal ini merupakan suatu masalah karena membuat UKM rentan dan menjadi sasaran empuk bagi cybercriminal. Dalam konteks ini, keamanan yang disepelekan bukan lagi merupakan pilihan dan anggapan bahwa bisnis Anda terlalu kecil untuk menarik minat para cybercriminal tidaklah realistis. Lima Besar Ancaman Cyber yang Memengaruhi Usaha Kecil Menengah 1. Sistem operasi dan perangkat lunak yang tidak cocok – Pastikan bahwa komputer dan perangkat lunak yang berjalan padanya merupakan yang terbaru. Hal ini sangat penting dan merupakan dasar yang kokoh untuk praktik keamanan

|
Jul 20, 2023 5 minutes read

Receive weekly
updates on new posts

Subscribe
Logo
Indonesia

Noble House, Level 11
Jakarta 12950, Indonesia

Singapore

112 Robinson Road, #11-04
Singapore 068902

Australia

Level 18, 390 St Kilda Road
Melbourne Victoria 3004

United Arab Emirates

Golden Mile 4, Office 13, Floor M,
Palm Jumeirah, Dubai, United Arab Emirates

Mauritius

The Catalyst Building, Ground Floor, Lot 40,
Silicon Avenue Ebene, Mauritius

Layanan

Copyright © ITSEC 2025 | All Rights Reserved