Ditulis oleh Adi Nugroho
Pada meetup kali ini (meetup ke-3), kini giliran PT. Datacomm yang menjadi lokasi kegiatan dari Komunitas CDEF untuk berkumpul, bertukar pikiran dan berbagi informasi maupun pengalaman seputar topik “cyber defense”. Dalam kesempatan ini komunitas mencoba mengangkat tema mengenai “Membangun Kemandirian Teknologi dalam IT Security”, sebuah topik yang cukup menarik mengingat di era pemerintahan saat ini hal ini coba digelorakan kembali dengan konsep “berdikari” (berdiri di atas kaki sendiri). Namun sejauh apa kemandirian itu diwujudkan hal ini yang perlu didefinisikan lebih rinci. Tidak hanya itu pada sesi ini juga dibahas 2 topik menarik lainnya, yakni SOC Functional Area dan Synchronising Information Security Actors.
Kegiatan ini sengaja dilakukan di tanggal 14 Februari 2018, selain untuk memeriahkan hari Kasih Sayang, tetapi juga sebagai hari peluncuran perdana Bulletin CDEF sebgai salah satu bentuk konkrit komunitas CDEF guna membangun dan mencerdaskan kehidupan bangsa khususnya dibidang cyber defense.
Pada kali ini acara dibuka oleh General Manajer Cybersecurity & Digital Transformation PT. Datacomm Diangraha yakni Bapak Betha Aris Susanto, dalam sambutannya beliau sangat mendukung terselenggaranya acara ini dan sebagai salah satu bentuk untuk membangun kesatuan dalam membangun keamanan siber di negeri ini meski peserta kegiatan berasal dari background yang berbeda-beda.
Sesi Materi
1. SOC Functional Area – Wahyu Nuryanto (PT. Datacomm Diangraha)
Materi ini dibawakan langsung oleh Wahyu Nuryanto selaku tuan rumah, dengan mengangkat topik mengenai SOC (Security Operation Center) Functional Area. Materi ini merupakan sesi berbagi pengalaman yang diperoleh oleh Wahyu Nuryanto setelah mengikuti training SANS. SOC sendiri secara harfiah memiliki fungsi untuk melakukan pelindungan kerahasiaan, integritas dan ketersediaan dari sistem informasi pada sebuah organisasi melalui proaktif desain dan konfigurasi, monitoring secara berkelanjutan dari sebuah sistem, mendeteksi aksi yang tidak diinginkan atau kondisi yang tidak diharapkan terjadi dengan tujuan untuk meminimalisir kerusakan dari dampak yang ditimbulkan.
Secara konseptual terdapat 6(enam) area fungsional yang dijalankan di dalam sebuah SOC, yaitu
- Pusat Kendali (Command Center)
- Monitoring Keamanan Jaringan (Network Security Monitoring)
- Threat Intelligence
- Tanggap Insiden (Incident Response)
- Forensic
- Self Assessment
2. Synchronising Information Security Actors
Pada materi kali ini, pemapar yang merupakan co-founder komunitas CDEF mengangkat topik mengenai bagaimana permasalahan di lapangan dan cara membangun siknronisasi aktor keamanan informasi yang ada di Indonesia. Seperti diketahui bahwa aktor di dalam dunia keamanan informasi melibatkan “Triple Helix” yang tidak bisa saling terlepas satu sama lain, yakni Pemerintah selaku regulator, Vendor selaku penyedia jasa dan produk teknologi maupun obyek regulasi dan Pengguna selaku pemanfaat layanan dan obyek regulasi.
Beberapa permasalahan yang diungkapkan mengenai kendala dalam terwujudnya sinkronisasi dari ketiga elemen tersebut yakni
- Pemerintah selaku regulator yang kurang adaptif terhadap perubahan, serta program pembangunan kompetensi maupun arah pembangunan keamanan siber yang tidak berjalan efektif sehingga cenderung hilang arah
- Dominasi dari “Red Team” atau “Offensive Team” sehingga stigma yang terbentuk cenderung menimbulkan kesan bahwa keamanan siber hanyalah ranah offensive team saja, namun unsur defensif tidak begitu mendapat perhatian.
- Pelaku industri bergerak berdasarkan permintaan pasar untuk bertahan di dalam persaingan usaha.
- Kekurang pahaman atau belum sadarnya pengguna mengenai dampak yang ditimbulkan dari security breach
Setidaknya ketiga hal tersebut menimbulkan dampak yang cukup signifikan bagi dunia keamanan siber, yakni menjadi biasnya penerapan keamanan informasi dan eksekusinya akibat dari regulator tidak memiliki arah yang jelas terhadap pencapaian tujuan, tidak adanya panduan bagi pengguna maupun industri dalam mengembangkan teknologi dan cenderung terbentuknya self regulation organization, keraguan akan manfaat dari penerapan keamanan informasi dan tidak adanya kontrol dari regulasi membuat nilai komersial dari profesi keamanan siber cenderung menurun.
Hal inilah yang menjadi keprihatinan dari Firzha Ramadhan atau yang kerap disapa Mas Temon untuk membangun kolaborasi dan sinkronisasi yang efektif diantara ketiga elemen tersebut, sehingga penerapan keamanan informasi menjadi hal yang prioritas dan memiliki arah yang jelas, kampanye kesadaran dan budaya keamanan informasi digalakkan sehingga pengguna lebih memahami pentingnya keamanan informasi dan akhirnya profesi keamanan informasi akan mendapatkan tempat yang layak seperti halnya di negara maju.
Diskusi Panel
Pada pertemuan kali ini sesi materi ditutup dengan acara diskusi panel dengan menghadirkan pegiat, praktisi dan konsultan keamanan siber yang sudah sangat berpengalaman dengan dunia keamanan siber di Indonesia. Kali ini diskusi panel mengangkat tema mengenai “Kemandirian Teknologi Informasi dalam IT Security”, berikut ringkasan dari diskusi tersebut
Rusdi Rachim. “Kemandiran harus mulai kita bangun dari hal yang terkecil sekalipun.”
Menurut pria yang hangat disapa om Rusdi yang juga merupakan Vice President ISC2 Indonesia, kemandirian adalah kemampuan kita dalam melakukan segala sesuatunya secara mandiri tanpa bergantung dengan orang lain. Salah satu hal yang beliau terapkan adalah melakukan pembangunan software dimana tempat dia bekerja secara mandiri melalui internal tim yang dimiliki, hingga ke pengujian keamanan yang dilakukan. Melalui tahapan ini sesungguhnya kita telah mendorong tumbuhnya kemandirian dalam lingkungan yang terkecil. Apabila seluruh pelaku industri, pegiat keamanan siber di Indonesia memiliki pemikiran yang sama, maka kita akan memiliki efek multiplier yang besar untuk menumbuhkan semangat kemandirian itu sendiri.
Paulus Tamba. “Sinergi dunia kampus dengan dunia profesional harus diwujudkan untuk membangun kemandirian.”
Berbicara kemandirian dalam lingkup yang luas (nasional), apabila kita dihadapkan pada tantangan apakah kita mampu membuat produk teknologi keamanan siber dengan skala enterprise, maka jawabannya adalah kita mampu-mampu saja. Namun pertanyaan yang harus kita tanyakan kepada diri sendiri adalah butuh berapa lama ini diwujudkan yang menjadi problem utama. Selain itu menurut om Paulus, bahwa hampir sebagian besar pegiat keamanan siber di Indonesia bergelut pada tataran operasional teknologi, namun belum menyentuh domain riset teknologi keamanan siber, hal ini yang mengafirmasi bahwa kita masih memerlukan proses dan waktu yang panjang untuk mencapai kemandirian teknologi keamanan siber. Hal lain yang tidak kalah penting adalah adanya jurang pemisah yang sangat tegas antara kampus dan dunia praktisi, umumnya bangku kuliah hanya berbicara teori di dalam buku tapi tidak melihat kenyataan yang terjadi di lapangan, sehingga hal ini juga menjadi salah satu faktor diperlukan adanya sinergi antara dunia kampus dan dunia praktisi. Tentu harapannya pemerintah bisa melihat permasalahan ini untuk menjadi benang merah penghubung antara dunia kampus dan dunia praktisi.
TinTin. “Pemerintah harus mengambil peran sentral guna mewujudkan kemandirian teknologi keamanan siber.”
Menurut pria yang hangat disapa TinTin, ada beberapa faktor mengapa kemandirian itu belum terwujud hingga saat ini, yakni Pemerintah, Iklim Industri dan Sumber Daya Manusia. Dari kesemua faktor ini, Pemerintah memiliki peran yang sangat dominan dalam menyebabkan mengapa kita terlambat atau belum dapat mencapai kemandirian yang diharapkan. Hal ini bisa kita lihat sejauh mana kontribusi pemerintah memberikan iklim yang kondusif bagi pelaku industri lokal untuk mengembangkan teknologinya, di beberapa negara maju pemerintah mendorong tumbuhnya industri lokal untuk berkembang dengan berbagai macam insentif riset maupun penggunaan produk industri lokal di beberapa area pemerintahan sehingga industri lokal mendapatkan ruang untuk terus berkembang. Senada eperti yang dikatakan oleh om Paulus Tamba, beliau juga melihat bahwa kapabilitas sumber daya manusia khususnya dalam hal riset teknologi siber memang harus ditingkatkan, kecenderungan yang tumbuh di kampus saat ini adalah kampus hanya memikirkan bahwa lulusan mereka dapat digunakan di dunia kerja, sehingga apa yang diajarkan di kampus adalah hal yang sifatnya praktikal dan tidak mengedepankan konsep fundamental keamanan siber itu sendiri. Selain itu standard penggajian pelaku, praktisi maupun profesional keamanan siber di Indonesia masih jauh dengan standard yang ada pada umumnya, jadi kita jangan heran kalo sumber daya manusia kita yang berkualitas lebih memilih untuk bekerja di luar negeri.
Frans. “Kunci kegagalan kita membangun kemandirian adalah kegagalan kita mengkomunikasikan mengenai pentingnya kemandirian teknologi kepada Eksekutif maupun Top Level Management di negara ini”
Menurut om Frans, Bussiness Director di RSA Indonesia, beliau sepakat untuk mewujudkan kemandirian yang seutuhnya di Indonesia, namun menurut beliau hal yang merupakan salah satu kunci kegagalan kita dalam mewujudkan kemandirian teknologi keamanan siber adalah profesional keamanan siber di Indonesia hanya berhenti pada domain teknikal, karena pada dasarnya untuk mewujudkan kemandirian hal yang pertama harus kita bangun adalah bagaimana kita bisa meyakinkan para top level management di negeri ini mengenai pentingnya kemandirian teknologi keamanan siber itu sendiri. Sehingga menurut pria yang murah senyum dan hangat disapa Om Frans, menjadi hal yang sangat penting bagi kita semua selaku profesional keamanan siber untuk mulai memahami pentingnya mengkomunikasikan hal yang kita maksud menggunakan bahasa yang lebih mudah diterima dan dicerna oleh eksekutif maupun top level management. Sehingga pada titik tertentu menjadi penting bahwa orang teknikal seperti rekan-rekan yang ada di dalam komunitas ini pada akhirnya harus mencoba menerobos area manajerial, bayangkan jikalau pemangku kepentingan tidak memahami esensi dari keamanan siber itu sendiri, jangankan kemandirian teknologi keamanan siber, penghasilan dan kondisi yang kita alami sekarang ini tentu masih akan tetap sama kedepannya, tutup om Frans dengan senyuman.
Dalam sesi tanya jawab terdapat dua hal penting yang dikemukakan oleh audiens yang berinteraksi
- Diharapkan komunitas ini juga dapat membantu merumuskan pentahapan pembangunan kemandirian teknologi kemanan siber di Indonesia, sehingga komunitas juga dapat memberikan masukan kepada pihak terkait mengenai kemandirian apa yang harus diwujudkan, pentahapannya dan kebutuhan yang diperlukan untuk mewujudkan hal tersebut.
- Kita selaku pegiat keamanan siber, tentu harus mulai belajar mengkomunikasikan dengan efektif mengenai maksud dan tujuan keamanan siber perlu dibangun, dengan bahasa yang lebih mudah dipahami sehingga esensi yang kita harapkan dapat tersampaikan dengan baik ke pemangku kepentingan.
Kemudian Adi Nugroho, selaku moderator menutup sesi diskusi kali ini dengan kesimpulan banyak hal yang masih menjadi pekerjaan rumah yang harus diselesaikan, semoga sinergi semua pihak dapat mewujudkan kemandirian yang kita harapkan. Moderator pun men challeneg para panelis untuk menjadi leader project di komunitas CDEF sehingga ruh kemandirian bisa dihembuskan secara perlahan kepada anggota komunitas ini.
Launching Bulletin Komunitas CDEF
Meetup kali ini akhirnya ditutup dengan peluncuran Bulletin CDEF oleh salah satu founder komunitas ini, yakni Mas Digit Oktavianto. Mas Digit menyampaikan bahwa bulletin ini adalah salah satu wujud nyata komitemen dan kontribusi komunitas CDEF untuk berbagi pengetahuan dan pengalaman di bidang keamanan siber, khususnya Cyber Defense area. Diharapkan melalui bulletin ini seluruh pegiat keamanan siber Indonesia dari sabang sampai merauke dapat mudah mendapatkan akses terhadap perkembangan informasi di dunia kemanan siber yang tentunya mudah dipahami karena hadir dalam bahasa Indonesia. Peluncuran perdana bulletin ini di tanggal 14 Februari 2018 merupakan wujud kasih saya komunitas untuk menumbuhkan Cyber Defense di Indonesia.
Dokumentasi Foto Kegiatan
Kami mengucapkan terima kasih yang sebesar-besarnya atas kesediaan PT. Datacomm Diangraha menjadi host pada pertemuan kali ini. Semoga ini menjadi salah satu bentuk kolaborasi dan dukungan nyata dari semua pihak untuk menggalakkan kegiatan ini demi kemajuan bersama. Salam CDEF !!
Materi Kegiatan
Silahkan unduh materi kegiatan pada link berikut ini
1. Wahyu Nuryanto – SOC Functional Areas
2. Firzha Ramadhan – Synchronising Information Security Actors