Kartu Skor Berimbang Keamanan Siber: Panduan Cara dengan Contoh KPI

Contoh kartu skor strategi dengan indikator kinerja yang menangani tren baru dalam keamanan siber.

Prinsip panduan untuk peta strategi keamanan siber. Sumber: Data Security Scorecard.

Topik utama artikel:

Titik Awal: Studi Keamanan Data

Studi rutin tentang keamanan data dan perlindungan data memberikan kita gambaran yang baik tentang penyebab utama pelanggaran data dan cara untuk mencegahnya. Dalam artikel ini, kita akan membahas contoh bagaimana temuan tersebut dapat digabungkan ke dalam strategi keamanan siber yang komprehensif yang dapat diukur dengan KPI.

Berikut adalah laporan yang akan kita gunakan sebagai referensi:

• Laporan Biaya Pelanggaran Data oleh IBM¹ dengan studi yang dilakukan oleh Ponemon Institute adalah salah satu tolok ukur di dunia keamanan TI.
• Laporan Investigasi Pelanggaran Data Verizon² menambahkan perspektif yang berbeda tentang risiko keamanan siber dan cara mengatasinya.
• Survei Keamanan Informasi Global EY³ berbagi praktik terbaik yang diterapkan organisasi untuk mengatasi risiko keamanan data.
• Laporan FireEye M-TRENDS⁴ melaporkan tentang ancaman keamanan data dan perkembangannya dari waktu ke waktu.

Terminologi: Keamanan Siber, Keamanan Data, Perlindungan Data, Privasi Data

Mari kita mulai dengan diskusi tentang perbedaan antara istilah keamanan data/informasi dan perlindungan data (privasi data).

• Keamanan data/informasi berkaitan dengan menjaga arsitektur yang aman untuk mengelola data. Pikirkan tentang pencadangan rutin, perangkat lunak keamanan yang mutakhir, hak akses, penerapan perangkat lunak DLP, dll.
• Perlindungan data berkaitan dengan penggunaan data secara etis dan legal – mendapatkan persetujuan dan mengikuti kewajiban regulasi.

Perbedaan ini penting. Misalnya, dalam kasus Facebook–Cambridge Analytica, data dikelola dengan aman (dienkripsi dan disimpan di server yang aman), tetapi tidak dikelola dengan bertanggung jawab sesuai dengan peraturan perlindungan data.

Istilah perlindungan data sebagian besar digunakan di Eropa dan Asia, sementara di AS, konsep yang sama disebut privasi data. Françoise Gilbert membagikan penjelasan yang baik tentang perbedaan tersebut di blognya.

Akhirnya, istilah keamanan siber dimaksudkan untuk mencakup berbagai ide yang lebih luas, termasuk tidak hanya keamanan data tetapi juga sistem keamanan lainnya. Dalam praktiknya, istilah ini sering digunakan secara bergantian dengan istilah keamanan data.

Mengapa Kita Membutuhkan KPI dan Strategi Keamanan Siber?

Di luar ide-ide yang jelas, seperti mengetahui bagaimana kinerja organisasi Anda dan memahami arah yang harus diambil, saya akan menyebutkan alasan-alasan ini:

• Dapat mendukung argumen dengan beberapa data saat mempresentasikan solusi keamanan baru kepada para pemangku kepentingan.
• Memiliki konteks bisnis yang terformulasi membantu menyelaraskan inisiatif keamanan siber dengan bagian lain dari strategi, misalnya, ke kartu skor Bakat, kartu skor IT, atau kartu skor tata kelola perusahaan.
• Mengubah beberapa ide yang samar seperti “lingkungan bisnis yang sangat aman yang memanfaatkan teknologi IT terbaru” menjadi sesuatu yang lebih nyata dengan indikator kinerja spesifik.

Bagaimana Mengukur Sesuatu yang Belum Terjadi

Mungkin terlihat bahwa keamanan data adalah sesuatu yang tidak berwujud dan sulit untuk dikuantifikasi dan diukur, karena kita tidak pernah tahu sebelumnya jenis pelanggaran data apa yang akan dihadapi oleh suatu organisasi. Studi empiris yang disebutkan di awal (lihat, misalnya, laporan Keamanan IBM) memberikan sudut pandang yang berbeda.

Sebagian besar pelanggaran data disebabkan oleh faktor-faktor yang sudah dikenal seperti:

• Kredensial yang dikompromikan (19%)
• Phishing (14%)
• Kesalahan konfigurasi cloud (19%)

Ini memberi kita gambaran di mana upaya keamanan siber harus ditekankan.

Meskipun kita tidak dapat mencegah semua pelanggaran data, data menunjukkan bahwa kita dapat meminimalkan dampaknya pada organisasi dengan:

• Menerapkan otomatisasi keamanan,
• Menyiapkan tim tanggap dan rencana tanggap,
• Mengedukasi karyawan, dan
• Menguji lingkungan bisnis menggunakan pendekatan seperti pengujian tim merah.

Untuk fungsi dan aset bisnis yang paling kritis, kita akan mendefinisikan titik pemulihan dan tujuan waktu pemulihan, yang dapat diformalkan dalam kartu skor pemulihan bencana dan diselaraskan dengan kartu skor keamanan siber.

Kerangka Bisnis Apa yang Berlaku untuk Keamanan Data?

Sebelumnya, kita membahas berbagai kerangka bisnis yang membantu organisasi untuk merumuskan dan melaksanakan strategi mereka. Kerangka apa yang berlaku untuk domain keamanan siber?

Untuk hasil terbaik, kita perlu menggabungkan berbagai kerangka:

• Kita akan menggunakan analisis PESTEL untuk mendeteksi dan menganalisis faktor baru dari lingkungan eksternal (lihat tujuan dari perspektif Pembelajaran dan Pertumbuhan). Faktor tersebut bisa berupa perubahan dalam peraturan perundang-undangan, seperti undang-undang perlindungan data, atau perubahan disruptif yang kita lihat setelah Covid-19, misalnya tren kerja jarak jauh.
• Kita akan banyak berbicara tentang fokus pada upaya tanggapan. Dalam konteks ini, berbagai kerangka prioritas akan membantu.
• Saat mengerjakan strategi keamanan data, kita perlu mempertimbangkan tindakan yang diperlukan hari ini, di masa depan yang dekat, dan beberapa inisiatif untuk masa depan yang jauh. Dalam konteks ini, kerangka Tiga Horizon akan membantu melakukan diskusi yang disiplin.
• Untuk mengubah semua ide yang terpisah tersebut menjadi strategi yang koheren, kita akan menggunakan kerangka Kartu Skor Berimbang.

Mari gunakan kerangka bisnis yang disebutkan dan laporan penelitian yang dirujuk di awal untuk membuat contoh strategi keamanan data.

Perspektif Keuangan. Memperkirakan Dampak Finansial dari Keamanan Data

KPI Keuangan untuk keamanan data sangat penting saat mempresentasikan inisiatif keamanan kepada pemangku kepentingan. Presentasi akan terlihat lebih mengesankan ketika tolok ukur industri yang relevan dapat disediakan.

Laporan Verizon, serta laporan IBM (yang dilakukan oleh Ponemon Institute), memberikan beberapa wawasan dalam konteks ini. Kadang-kadang, data bisa kontradiktif. Misalnya, Anda akan menemukan bahwa biaya pelanggaran data per catatan bervariasi secara signifikan. Laporan IBM memberikan kisaran $150-$175, sementara menurut laporan Verizon (lihat Laporan Investigasi Pelanggaran Data, 2015), biayanya sekitar $0.58. Ken Spinner berbagi beberapa penjelasan tentang topik ini di TechBeacon.

Tujuan mengurangi potensi dampak finansial dari pelanggaran data dibagi menjadi indikator tertinggal tertentu. Sumber: Data Security Scorecard.

Bagaimana Anda dapat memperkirakan biaya pelanggaran data dalam kasus organisasi Anda?

Ini dapat didasarkan pada biaya langsung dan tidak langsung:

• Biaya langsung mencakup biaya analisis forensik, denda, kompensasi kepada pelanggan.
• Biaya tidak langsung merujuk kepada hilangnya pelanggan yang ada dan potensial, karyawan, mitra yang terjadi akibat pelanggaran data.

Pada kartu skor keamanan data, kita dapat mengambil beberapa tolok ukur dari studi Ponemon atau Verizon untuk metrik biaya pelanggaran data per catatan dan mengalikannya dengan jumlah catatan yang berisiko.

Untuk melakukan perhitungan, kita perlu memiliki beberapa data bisnis dasar:

• LTV (nilai seumur hidup pelanggan)
• Perkiraan perputaran pelanggan akibat pelanggaran data
• Jumlah pelanggan
• Jumlah catatan yang berisiko
• Pelanggan potensial yang hilang

Nilai untuk indikator 'Biaya pelanggaran data' dihitung menggunakan nilai dari dua indikator lainnya. Sumber: Data Security Scorecard.

Secara berturut-turut, dampak langsung dari pelanggaran data dapat dihitung sebagai:

• Biaya pelanggaran data (biaya langsung) = Biaya pelanggaran data per catatan * Jumlah catatan yang berisiko

Adapun biaya tidak langsung, salah satu cara untuk mengkuantifikasikannya adalah menggunakan tingkat perputaran pelanggan akibat pelanggaran data dan LTV:

• Biaya perputaran pelanggan = [Jumlah pelanggan]*[LTV]*[Perputaran pelanggan akibat pelanggaran data]/100

Selain itu, Anda dapat memperkirakan jumlah pelanggan potensial yang tidak menandatangani kontrak.

• Biaya peluang yang hilang = [Pelanggan potensial yang hilang] * [LTV]

Perspektif Pelanggan. Mengkuantifikasi Risiko Keamanan.

Untuk perspektif pelanggan, tujuan utama dirumuskan sebagai:

• Mitigasi risiko keamanan dan perlindungan data

Tujuan keseluruhan pelanggan dirumuskan sebagai 'Mitigasi risiko keamanan data'. Hasilnya dikualifikasikan oleh indeks 'risiko berbobot'. Sumber: Data Security Scorecard.

Ini dikualifikasikan oleh indikator-indikator berikut:

• Indikator terkemuka Deteksi dini dan respons cepat terhadap risiko data yang merupakan keluaran dari tujuan dari Perspektif Internal
• Indikator terkemuka Kesiapan Perlindungan Data
• Indikator tertinggal Indeks risiko berbobot

Logika di sini adalah bahwa organisasi bekerja pada sistem keamanan internal (diukur oleh deteksi dini dan respons cepat terhadap risiko data) dan memperkenalkan langkah-langkah perlindungan data yang diperlukan (diukur oleh Kesiapan Perlindungan Data) untuk lebih baik memitigasi risiko keamanan data yang diukur oleh Indeks risiko berbobot.

• Saat membangun strategi keamanan data, pastikan tim Anda memahami perbedaan antara metrik untuk faktor keberhasilan (metrik terkemuka) dan metrik untuk hasil yang diharapkan (metrik tertinggal).

Mari kita bahas indikator dari perspektif Pelanggan secara mendetail.

Indeks Risiko Tertimbang

Tujuan dari indikator ini adalah untuk mengukur tingkat risiko saat ini yang dihadapi oleh organisasi. Untuk melakukannya, kami akan mengukur jumlah pelanggaran data yang dikategorikan berdasarkan tingkat dampak mereka:

• Peristiwa risiko kritis, bobot 70%
• Peristiwa risiko penting, bobot 20%
• Peristiwa risiko tingkat sedang, bobot 7%
• Peristiwa risiko tingkat rendah, bobot 3%

Seperti yang dapat Anda lihat, skala bobot non-linear diterapkan. Dengan model ini, pelanggaran data kritis memiliki dampak tertinggi pada metrik indeks, sedangkan peristiwa tingkat rendah memiliki dampak rendah.

Indeks risiko tertimbang memperhitungkan peristiwa risiko dari berbagai tingkat - dari peristiwa risiko kritis (bobot tertinggi) hingga peristiwa risiko tingkat rendah (bobot terendah). Sumber: Kartu Skor Keamanan Data.

Pendekatan ini mengatasi masalah memanipulasi sistem pengukuran ketika indikator kontrol dipindahkan ke zona hijau dengan menyelesaikan masalah yang kurang signifikan. Namun, kita perlu memastikan bahwa peristiwa risiko dikategorikan dengan benar.

Jika Anda tertarik untuk mempelajari lebih lanjut tentang perhitungan indikator indeks dan memperhitungkan bobot indikator, maka lihatlah artikel terkait di situs web kami.

Mengukur Perlindungan Data atau Privasi Data

Seperti yang dijelaskan sebelumnya, perlindungan data berkaitan dengan penggunaan informasi yang dapat diidentifikasi secara pribadi (PII) dan data serupa secara etis dan sah.

Langkah-langkah perlindungan, dalam hal ini, dijelaskan dengan baik oleh undang-undang yang berlaku. Di Eropa, ada GDPR; di AS, terdapat berbagai undang-undang tergantung pada domain bisnis, seperti CCPA, HIPPA, PCI DSS, GLBA.

Contoh indikator biner (kemungkinan status adalah 'Ya' atau 'Tidak' - ketika nilai adalah 'Ya' kinerja indikator ini adalah 100%, jika tidak 0%. Sumber: Data Security Scorecard.

Jika kita mengambil GDPR sebagai contoh, dari sudut pandang pengukuran, perlindungan data dapat dilacak dengan indikator indeks, Kesiapan Perlindungan Data, yang dihitung menggunakan metrik seperti (kebanyakan biner):

• Petugas perlindungan data ditunjuk
• Pelacakan persetujuan eksplisit
• Prosedur pelaporan pelanggaran data
• Hak akses, perbaikan, penghapusan diimplementasikan
• Hak untuk portabilitas data

Indikator-indikator ini dapat dirinci lebih lanjut ke dalam kasus paling spesifik yang berlaku untuk organisasi, produk, dan layanannya.

Untuk memastikan kepatuhan peraturan, indikator-indikator tersebut, serta persyaratan hukum, harus ditinjau secara berkala. Ini dapat diotomatisasi dengan fungsi interval pembaruan untuk indikator yang bersangkutan. Lihat bagian Otomasi di bawah untuk contoh yang lebih spesifik.

Perspektif Internal. Cara Memitigasi Risiko Keamanan Data

Untuk menemukan tujuan dan indikator kinerja untuk perspektif internal, kita perlu melakukan analisis akar penyebab dan melihat titik risiko/biaya yang ditemukan.

Temuan akan bergantung pada domain bisnis dan sistem bisnis dari suatu organisasi tertentu. Namun, ada beberapa tren umum yang disoroti dalam laporan oleh IBM Security dan Verizon. Kami akan menggunakan temuan tersebut untuk merumuskan tujuan dan KPI untuk perspektif internal dari kartu skor.

Penggerak strategi keamanan siber. Tujuan 'Deteksi dini' didukung oleh dua tujuan sub - 'Mengembangkan rencana mitigasi risiko' dan 'Mengurangi kompleksitas TI' - semuanya dengan indikator kinerja dan inisiatif masing-masing. Sumber: Data Security Scorecard.

Deteksi Dini dan Respons Cepat terhadap Risiko Data

Jika terjadi pelanggaran data, respons cepat dalam hal deteksi dan respons akan secara signifikan mengurangi biaya.

Pada kartu skor, ini diukur dengan dua indikator tertinggal:

• Waktu Rata-rata untuk Mendeteksi
• Waktu Rata-rata untuk Merespons

Indikator tertinggal mengukur apa yang sudah terjadi. Bagaimana organisasi dapat mempengaruhi indikator-indikator ini? Laporan yang sama menyarankan tindakan tertentu yang biasanya mengarah pada respons keamanan data yang lebih baik.

Contoh faktor keberhasilan - 'Membentuk tim respons insiden' adalah faktor keberhasilan dalam meminimalkan dampak pelanggaran data. Sumber: Data Security Scorecard.

Pada template kartu skor, Anda akan menemukan dua catatan yang selaras dengan tujuan Deteksi dini dan respons cepat:

• Membentuk tim respons insiden. Catatan ini ditandai sebagai faktor keberhasilan. Menurut laporan Keamanan IBM, ini adalah salah satu penyebab utama dalam meminimalkan dampak pelanggaran data.
• Deteksi akses data berisiko tinggi. Dengan inisiatif ini, tim Anda dapat memprioritaskan upaya mereka sesuai dengan dampak dari jenis akses data tertentu. Jika Anda mencari pendekatan yang lebih sistematis untuk prioritisasi, maka lihatlah artikel tentang kerangka kerja prioritas.

Ada dua indikator terkemuka lagi dalam konteks tujuan Deteksi dini dan respons cepat. Keduanya didasarkan pada temuan laporan keamanan data yang disebutkan di atas:

• Mengembangkan rencana mitigasi risiko
• Mengurangi kompleksitas IT

Mari kita bahas mereka secara detail.

Kembangkan rencana mitigasi risiko

Memiliki rencana mitigasi risiko adalah faktor keberhasilan untuk respons yang lebih cepat terhadap pelanggaran data.

Bagaimana kita dapat memastikan bahwa rencana keamanan data yang ada adalah rencana yang baik?

Rencana tersebut harus didasarkan pada model risiko terkini yang mencerminkan cara data dikelola dalam organisasi. Pada kartu skor strategi, ini diukur oleh audit keamanan data reguler sebagai indikator terkemuka yang dijelaskan dalam perspektif Pembelajaran dan Pertumbuhan.

Bagaimana kita tahu bahwa rencana respons risiko yang diusulkan benar-benar efektif?

Bersama dengan pembaruan rutin rencana risiko, kita dapat menguji penerapan rencana yang dikembangkan dalam praktik. Ini diukur oleh indikator tertinggal, pengujian respons insiden.

Kurangi Kompleksitas TI dan Data

Studi empiris menyebutkan beberapa faktor lain yang membantu meminimalkan biaya pelanggaran data, seperti:

• Kompleksitas infrastruktur TI
• Kompleksitas skema data
• Otomatisasi

Pada peta strategi, kami merumuskan faktor-faktor ini dalam tujuan Kurangi kompleksitas TI dan data.

Tujuan-tujuan sub menjelaskan bagaimana tujuan keseluruhan akan dicapai. Sumber: Data Security Scorecard.

Dalam hal ini:

• Kurangi kompleksitas data dan TI merupakan alasan untuk tujuan tersebut
• Batasi akses ke data yang paling berharga adalah salah satu faktor keberhasilan dalam mengurangi kompleksitas solusi TI yang diperlukan
• Otomatisasi pengujian kerentanan dan kepatuhan adalah inisiatif luas untuk otomatisasi keamanan TI

Akhirnya, jika meminimalkan kompleksitas disebut sebagai salah satu faktor respons pelanggaran data yang lebih baik, bagaimana kita dapat mengkuantifikasinya?

Jawabannya bersifat individual dan tergantung pada lanskap TI organisasi Anda. Untuk kartu skor ini, terdapat contoh Indeks kompleksitas keamanan data yang terdiri dari indikator-indikator seperti:

• Jumlah pengguna dengan tingkat akses tertinggi. Fungsi optimasi untuk indikator ini diatur ke “Minimalkan secara linear,” karena mengurangi jumlah pengguna dengan akses ke data sensitif akan meningkatkan kinerja keseluruhan indeks.
• Waktu untuk menonaktifkan kredensial login. 7% pelanggaran data disebabkan oleh orang dalam yang jahat. Menonaktifkan kredensial login dengan cepat adalah salah satu langkah keamanan TI yang dapat mengurangi persentase ini. Interval waktu yang dapat diterima dalam kasus ini sangat singkat. Untuk mencerminkan ide ini pada kartu skor, fungsi optimasi untuk indikator ini adalah penurunan eksponensial.

Fungsi kinerja untuk indikator ini diatur ke 'Penurunan eksponensial'. Seperti yang terlihat pada grafik pengukur, zona hijau untuk metrik ini relatif kecil, yang berarti waktu yang dapat diterima untuk menonaktifkan kredensial logis adalah beberapa jam, bukan hari. Sumber: Data Security Scorecard.

• % data sensitif yang dikendalikan oleh perangkat lunak DLP. Solusi pencegahan kehilangan data adalah salah satu cara untuk mengotomatisasi keamanan TI. Selama organisasi menangani data baru, penting untuk meninjau model data secara teratur untuk memastikan bahwa data sensitif dapat diakses oleh alat-alat DLP (Pencegahan Kehilangan Data).
• Enkripsi data dan pencadangan otomatis. Mirip dengan indikator sebelumnya, kita tertarik pada memiliki model data yang mutakhir dan memastikan bahwa data sensitif dikelola dengan baik.
• % perangkat lunak keamanan yang mutakhir. Metrik ini terlihat sederhana, tetapi studi menunjukkan cerita yang berbeda. Penyebab utama 16% pelanggaran data adalah kerentanan pada perangkat lunak pihak ketiga. Vendor perangkat lunak secara teratur merilis pembaruan yang menambal kerentanan. Memiliki pembaruan terbaru yang terpasang adalah salah satu faktor keberhasilan dalam meminimalkan risiko keamanan.
• Cakupan otomatisasi, % indikator membandingkan tingkat otomatisasi yang mungkin dengan tingkat otomatisasi saat ini. Otomatisasi yang lebih tinggi mengurangi dampak faktor manusia dan mengurangi kompleksitas bagi para pemangku kepentingan.

Contoh bagaimana mengkuantifikasi kompleksitas dengan indikator gaya indeks, di mana sub-indikator berkontribusi pada indeks dengan bobot yang berbeda. Sumber: Data Security Scorecard.

Ini hanya contoh beberapa metrik yang dapat mengkuantifikasi kompleksitas dalam kasus keamanan data. Pendekatan yang lebih kuat terhadap kompleksitas harus mencakup analisis yang lebih dalam dari para pemangku kepentingan, menemukan titik kompleksitas buruk dan merumuskan strategi pengurangan kompleksitas. Dalam artikel sebelumnya, kami membahas metrik kompleksitas dan cara menerapkannya dalam praktik.

Perspektif Pembelajaran dan Pertumbuhan

Dalam perspektif ini, kami memiliki dua tujuan besar:

• Pemeriksaan keamanan data secara reguler adalah tujuan yang membantu fokus pada infrastruktur yang tepat untuk keamanan data.
• Melatih karyawan tentang keamanan data adalah tujuan yang berfokus pada pemberian pengetahuan dan keterampilan terkini kepada tim Anda yang diperlukan untuk mencegah pelanggaran data atau meminimalkan dampaknya.

Penggerak pembelajaran dan infrastruktur dari strategi keamanan siber - 'Pemeriksaan keamanan data secara reguler' dan 'Melatih karyawan tentang keamanan data'. Dua tujuan penting disertai dengan inisiatif, indikator terkemuka dan tertinggal. Sumber: Kartu Skor Keamanan Data.

Mari kita lihat bagaimana tujuan-tujuan ini dirumuskan pada peta strategi.

Audit Keamanan Data Reguler

Kami memiliki alasan Menganalisis risiko keamanan siber yang selaras dengan tujuan. Apa saja risiko keamanan siber yang khas tersebut? Dalam deskripsi alasan, kami memiliki beberapa contoh:

• Serangan siber
• Ransomware
• Malware
• Ancaman dari dalam
• Kredensial yang hilang/dicuri
• Akses tidak sah
• Kehilangan data
• Kerusakan data

Kebutuhan untuk analisis risiko keamanan siber secara reguler dirumuskan sebagai inisiatif. Indikator yang selaras 'analisis risiko reguler' menunjukkan kemajuan aktual untuk inisiatif ini. Sumber: Data Security Scorecard.

Ada hipotesis, Pekerjaan jarak jauh memengaruhi keamanan data yang selaras dengan tujuan. Bagi banyak organisasi, pekerjaan jarak jauh adalah bagian dari strategi antikrisis mereka sebagai respons terhadap Covid-19.

Ada dua indikator terkemuka:

• Analisis risiko reguler – analisis umum dari risiko baru
• Menilai risiko data sensitif secara reguler – analisis yang lebih spesifik dalam konteks data sensitif

Kedua indikator dikonfigurasi untuk diperbarui pada dasar triwulanan.

Interval pembaruan untuk 'Menilai risiko data sensitif secara reguler' dikonfigurasi ke triwulan. Perangkat lunak akan mengontrol bahwa indikator diperbarui secara reguler dan data baru dicatat pada tanggal yang diizinkan oleh interval pembaruan (hari pertama triwulan dalam konfigurasi ini). Sumber: Data Security Scorecard.

Ada beberapa metrik yang membantu mengkuantifikasi upaya tim keamanan dalam menganalisis situasi risiko saat ini dan belajar darinya:

• Pemindaian kerentanan – biasanya, pemindaian otomatis dilakukan oleh tim IT
• Pengujian penetrasi (uji pen) – simulasi serangan siber
• Pengujian tim merah – pengujian keamanan dalam skala lebih besar yang melibatkan lebih banyak peserta

KPI terkait dikonfigurasi untuk interval pembaruan yang berbeda:

• Pemindaian kerentanan otomatis dapat dilakukan mingguan atau bulanan.
• Bergantung pada model risiko, uji pen dapat dilakukan triwulanan.
• Akhirnya, indikator untuk pengujian tim merah yang paling menuntut sumber daya dikonfigurasi untuk interval pembaruan setengah tahunan atau tahunan.

Prosedur analisis risiko dan pengujian dirancang untuk menemukan titik lemah dalam sistem keamanan. Bagaimana kita tahu bahwa hasil dari simulasi dan pengujian tersebut diimplementasikan secara efektif? Untuk menemukan jawaban atas pertanyaan ini, kita dapat melacak:

• Indikator jumlah pelanggaran data yang berulang .

Jika pelanggaran data dari jenis yang sama terjadi berulang kali, itu adalah tanda bahwa rencana mitigasi risiko yang disarankan oleh tim keamanan tidak seefektif yang diharapkan.

Latih Karyawan tentang Keamanan Data

Faktor manusia tetap menjadi salah satu risiko tertinggi dari sistem keamanan data mana pun. Menurut laporan IBM Security, sekitar 36% pelanggaran data yang berbahaya terkait dengan perilaku manusia (phishing, rekayasa sosial, kredensial yang dikompromikan).

Bagaimana strategi keamanan data dapat dirancang untuk mengurangi risiko tersebut secara efektif?

Salah satu solusinya adalah mengotomatisasi operasi tertentu dan mengurangi peran operator manusia. Ini sangat selaras dengan tujuan Pengurangan Kompleksitas yang kami diskusikan dalam perspektif internal.

Daftar inisiatif dan statusnya. Sumber: Kartu Skor Keamanan Data.

Untuk kasus lainnya, di mana otomatisasi tidak memungkinkan atau tidak menguntungkan, pendidikan adalah jawabannya. Bagaimana memfokuskan upaya pendidikan dalam konteks keamanan data? Kita dapat menggunakan sepasang indikator terkemuka dan tertinggal!

• Indikator terkemuka: Tingkat penetrasi pelatihan keamanan data dapat digunakan untuk melacak cakupan pelatihan kesadaran keamanan data, di mana peserta dapat belajar, misalnya, tentang praktik phishing dan cara menghindarinya.
• Indikator tertinggal terbaik dalam kasus ini harus difokuskan pada dampak nyata dari pelatihan kesadaran. Jika pemahaman tentang praktik phishing adalah salah satu topik pelatihan, lakukan Uji Phishing dan lihat apakah karyawan benar-benar menggunakan hasil pelatihan tersebut. Ini dapat diukur pada kartu skor dengan indikator Tingkat Keberhasilan Uji Phishing.

Jika mendidik karyawan tentang keamanan data adalah prioritas Anda saat ini, maka tim keamanan Anda dapat merancang kartu skor evaluasi pelatihan menggunakan model tingkat Kirkpatrick, seperti yang dibahas dalam artikel ini.

Otomatisasi untuk Kartu Skor Keamanan Data

Kami membahas contoh kartu skor strategi yang membantu menjelaskan, menerapkan, dan melaksanakan strategi keamanan data di organisasi Anda.

Kartu skor ini tersedia sebagai salah satu templat gratis di BSC Designer Online sehingga Anda dapat mendaftar dengan akun rencana gratis dan mulai menyesuaikannya sesuai kebutuhan Anda.

Ketahui Biaya Strategi Total

Kami menyebutkan bahwa salah satu alasan untuk memiliki kartu skor strategi untuk keamanan data adalah agar lebih mudah mempresentasikan inisiatif baru kepada para pemangku kepentingan.

Biaya strategi yang diusulkan adalah salah satu pertanyaan pertama yang akan ada di meja. Biaya untuk melaksanakan strategi dapat diperkirakan sebagai jumlah dari biaya semua tujuan bisnis dan inisiatif masing-masing.

Laporan 'Biaya Strategi' untuk kartu skor Keamanan Siber merangkum anggaran (yang dialokasikan dan yang benar-benar digunakan) dari semua inisiatif. Sumber: Kartu Skor Keamanan Data.

Jika Anda menggunakan BSC Designer sebagai alat otomatisasi, Anda akan dapat menetapkan anggaran untuk inisiatif dan mengontrol penggunaannya. Perangkat lunak ini akan dapat menghasilkan laporan biaya strategi untuk menyajikan total biaya yang diharapkan untuk melaksanakan strategi.

Visualisasikan Data Penting pada Dasbor

Permintaan khas lainnya dari para pemangku kepentingan adalah memiliki data untuk membuat keputusan yang tepat (sebelumnya, kita berbicara tentang keputusan berbasis data). Dengan sendirinya, peta strategi sudah mengandung banyak data. Pendekatan lain adalah membangun dasbor BI yang dapat dikonfigurasi untuk menampilkan indikator terpenting dan datanya.

Dalam template strategi untuk artikel ini, kami memiliki dua dasbor (Anda dapat beralih di antara keduanya).

Contoh dasbor BI untuk keamanan siber: diagram waktu untuk kejadian risiko kritis, evolusi indeks risiko berbobot, diagram untuk beberapa indikator spesifik, diagram Gantt untuk inisiatif respons, daftar risiko dan statusnya. Sumber: Data Security Scorecard.

Dasbor Indeks Risiko berfokus secara eksklusif pada indikator-indikator indeks risiko yang kami gunakan untuk mengukur situasi risiko saat ini. Dengan diagram-diagram pada dasbor, kita dapat melihat:

• Risiko saat ini divisualisasikan pada diagram pengukur
• Bagaimana indeks risiko berubah seiring waktu
• Kontribusi masing-masing indikator terhadap indeks risiko pada diagram bobot

Dasbor kedua dalam kartu skor keamanan siber berfokus secara eksklusif pada indeks kompleksitas, evolusinya seiring waktu, dan keadaan indikatornya. Sumber: Data Security Scorecard.

Dasbor lainnya adalah Indeks Kompleksitas Keamanan Data. Seperti yang telah kita bahas, kompleksitas buruk dari sistem keamanan adalah faktor risiko pelanggaran data yang lebih tinggi. Dasbor ini memvisualisasikan keadaan terkini dari kompleksitas sebagaimana diukur oleh indikator terpilih.

Menganalisis Data Kinerja

Mengumpulkan data kinerja dalam bentuk KPI adalah sesuatu yang dilakukan oleh sebagian besar organisasi secara teratur. Tidak masalah alat otomatisasi apa yang digunakan, ada banyak data yang tersedia.

Pertanyaannya selalu bagaimana menggunakan data ini dan mengubahnya menjadi informasi yang dapat ditindaklanjuti. Beberapa wawasan terjadi ketika tim mendiskusikan peta strategi atau dasbor; menemukan wawasan lain dapat diotomatisasi.

Dalam hal ini, fungsi Analisis di BSC Designer sangat membantu. Berikut beberapa contohnya:

• Kebanyakan indikator yang kita bahas perlu diperbarui secara teratur. Dengan analisis Perbarui waktu, Anda dapat menemukan indikator yang perlu segera diperbarui atau yang tidak diperbarui tepat waktu. Ini juga dapat diotomatisasi dengan fungsi Peringatan.
• Setiap indikator pada kartu skor memiliki bobot yang mencerminkan pentingnya indikator tersebut. Dengan analisis Berat absolut, Anda dapat menemukan indikator dengan bobot tertinggi. Misalnya, dalam contoh kami, indikator Waktu Rata-rata untuk Mendeteksi memiliki salah satu bobot tertinggi. Jika tim Anda mempertimbangkan untuk mengerjakan beberapa inisiatif, dan salah satu dari mereka menjanjikan untuk mendeteksi pelanggaran data lebih cepat, maka berikan prioritas pada yang itu.
• Terkadang, temuan menarik dapat ditemukan hanya dengan melihat bagaimana data kinerja berubah. Kenaikan atau penurunan cepat adalah tanda dari beberapa faktor baru yang harus dianalisis. Mengapa indikator Peristiwa risiko tingkat sedang mengalami penurunan 30% – apakah itu hasil dari beberapa pembaruan sistem internal, ataukah itu masalah pelaporan?

Analisis 'Berat absolut' membantu menemukan indikator yang memiliki dampak tertinggi (berat absolut tertinggi) pada kartu skor. Dalam kasus ini 'Peristiwa risiko kritis' dan 'Waktu Rata-rata untuk Mendeteksi' memiliki dampak tertinggi. Sumber: Kartu Skor Keamanan Data.

Peta Alasan, Faktor Keberhasilan, dan Hasil yang Diharapkan

Dalam kursus perencanaan strategis gratis, kami membahas pentingnya memahami konteks bisnis dari suatu tujuan. Tidak cukup hanya memiliki tujuan yang terdeskripsi dengan baik, penting untuk memahami alasan di baliknya, faktor keberhasilannya, dan hasil yang diharapkan yang bernilai bagi organisasi.

Daftar inisiatif, status mereka, dan kemajuan indikator yang selaras dengan mereka. Sumber: Data Security Scorecard.

Lihatlah tujuan Mengurangi kompleksitas TI dan data dari template kartu skor:

• Ada catatan alasan Mengurangi kompleksitas data dan TI yang menjelaskan mengapa tujuan ini penting: “Kompleksitas tinggi dari sistem perangkat lunak dan infrastruktur data adalah faktor risiko untuk pelanggaran data.”
• Ada juga faktor keberhasilan dari pengurangan kompleksitas – Batasi akses ke data yang paling berharga. Ini masuk akal dalam konteks tujuan – akses yang lebih sedikit ke data sensitif mengurangi kompleksitas skema data dan mengurangi risiko pelanggaran data sebagai hasilnya.

Dalam beberapa kasus, kami tidak memiliki rencana tetap untuk mencapai sesuatu, melainkan kami berurusan dengan hipotesis yang terdidik. Pengguna BSC Designer dapat menambahkan hipotesis ke tujuan mereka. Dalam contoh kami, ada hipotesis, Pekerjaan jarak jauh mempengaruhi keamanan data yang selaras dengan Audit keamanan data secara reguler. 

Mengetahui hasil yang diharapkan juga sangat penting. Misalnya, untuk Melatih karyawan tentang keamanan data, kami memiliki hasil yang diharapkan yang disebut Manajemen data yang bertanggung jawab. Apa artinya dalam praktik? Bagaimana kita bisa mengukur ini? Pertanyaan-pertanyaan ini membuka pintu untuk beberapa diskusi menarik.

Buat Inisiatif dengan Anggaran, Pemilik, dan Status

Untuk mengisi kesenjangan antara perencanaan dan pelaksanaan strategi, gunakan inisiatif untuk mencapai tujuan. Mari kita ambil contoh inisiatif Otomatisasi pengujian kerentanan dan kepatuhan yang selaras dengan Mengurangi kompleksitas IT dan data.

Contoh inisiatif strategis dengan anggaran dan waktu yang ditetapkan. Dampak dari inisiatif ini diukur dengan indikator 'Cakupan otomatisasi' (lihat bidang 'KPI yang selaras'). Sumber: Data Security Scorecard.

• Bagaimana tepatnya tim Anda akan bekerja pada inisiatif ini? Gunakan bidang deskripsi untuk menambahkan rencana tindakan yang terperinci.
• Bagaimana hal ini selaras dengan rencana mitigasi risiko lainnya? Gunakan bagian dokumen untuk menautkan ke sumber daya yang relevan. Dalam contoh kami, kami menautkannya ke contoh kartu skor TI.
• Siapa yang bertanggung jawab atas inisiatif ini? Tetapkan pemilik agar mereka mendapatkan notifikasi ketika ada hal yang relevan terjadi.
• Apa status saat ini dari inisiatif ini? Perbarui status seiring dengan kemajuan tim Anda dalam mengerjakan inisiatif tersebut.
• Bagaimana Anda dapat melacak kemajuan dalam konteks inisiatif ini? Dalam contoh kami, kami menautkannya ke indikator cakupan otomatisasi, % yang membentuk indeks kompleksitas keamanan data.

Kesimpulan

Dalam artikel ini, kami membahas contoh strategi keamanan data. Berikut adalah ide-ide paling penting yang kami bahas:

• Ada faktor risiko yang diketahui dari pelanggaran data, serta cara-cara terbukti untuk meminimalkan dampak insiden keamanan.
• Bantu pemangku kepentingan Anda memahami biaya langsung dan tidak langsung dari pelanggaran data.
• Fokuskan strategi Anda pada mendeteksi masalah lebih awal dan merespons dengan cepat.
• Miliki rencana mitigasi risiko dan tim respons untuk mengurangi dampak pelanggaran data.
• Kurangi kompleksitas buruk dari sistem IT dan skema data.
• Perbarui model risiko secara teratur, uji lingkungan keamanan Anda.
• Faktor manusia adalah salah satu titik risiko – didik tim Anda, perhatikan perubahan perilaku, bukan hanya skor ujian formal.

Apa selanjutnya? Strategi siber yang baik dirancang khusus sesuai dengan kebutuhan organisasi Anda. Gunakan template strategi keamanan yang dibahas dalam artikel ini sebagai titik awal untuk mulai membangun strategi keamanan data Anda sendiri. Silakan bagikan tantangan dan temuan Anda di komentar.

Contoh Aplikasi di Sektor Keamanan Siber

Pelajari bagaimana para profesional bisnis menggunakan platform BSC Designer untuk menangani dan mengotomatisasi tantangan yang terkait dengan strategi keamanan siber.

Gunakan Template Kartu Skor Keamanan dan Perlindungan Data

BSC Designer membantu organisasi mengimplementasikan strategi kompleks mereka:

1. Daftar untuk rencana gratis di platform.
2. Gunakan template Kartu Skor Keamanan dan Perlindungan Data sebagai titik awal. Anda akan menemukannya di Baru > Kartu Skor Baru > Template Lainnya.
3. Ikuti Sistem Penerapan Strategi kami untuk menyelaraskan pemangku kepentingan dan ambisi strategis menjadi strategi yang komprehensif.

Mulailah hari ini dan lihat bagaimana BSC Designer dapat menyederhanakan penerapan strategi Anda!

Alexis Savkín

Alexis Savkin adalah seorang Arsitek Implementasi Strategi dan pendiri BSC Designer, sebuah platform perangkat lunak untuk eksekusi strategi dan Kartu Skor Berimbang. Ia membantu organisasi mengotomatiskan manajemen kinerja dan mengubah strategi menjadi hasil yang terukur. Alexis adalah pencipta “Kanvas Eksekusi Strategi”, penulis lebih dari 100 artikel tentang strategi dan pengukuran kinerja, serta pembicara rutin di acara industri.