Ketika ancaman dunia maya semakin intensif dan sumber daya manusia serta keuangan yang tersedia untuk menghadapinya tetap terbatas, ada kebutuhan yang meningkat akan otomatisasi dalam keamanan dunia maya.
Otomatisasi cerdas dari proses keamanan siber utama dapat meningkatkan postur organisasi secara signifikan dan pada saat yang sama mendukung karyawan yang berada di bawah tekanan dengan mengurangi ketergantungan pada proses manual. Namun dalam pendekatan yang relatif baru, seberapa jauh organisasi telah berkembang di sepanjang kurva kematangan otomatisasi keamanan siber dan apakah semua orang berada dalam perjalanan yang sama?
Untuk memahami seberapa jauh kemajuan organisasi dalam upaya mereka menerapkan otomatisasi, ThreatQuotient menyurvei 750 profesional keamanan siber dari organisasi di Inggris, AS, dan Australia. Ini adalah tindak lanjut dari survei Inggris tahun 2021 kami, yang mengungkapkan bahwa bisnis kurang percaya pada hasil dari proses otomasi.
Meskipun demikian, otomatisasi keamanan siber telah mendapatkan daya tarik selama tahun intervensi, dan hasil tahun ini menunjukkan bahwa kekhawatiran telah beralih ke masalah penerapan yang lebih praktis seperti integrasi dengan teknologi yang ada dan kurangnya keterampilan tenaga kerja.
Tantangan ini juga terbukti saat kami meminta responden untuk menilai kematangan operasi keamanan siber mereka saat ini dalam skala yang diadaptasi dari skala yang awalnya dikembangkan oleh Accenture.
Kami ingin memahami bagaimana profesional keamanan siber melihat kecanggihan penyiapan mereka dan bagaimana kontribusinya terhadap bisnis yang lebih luas.
Skala kematangan operasi keamanan siber:
TINGKAT 1 Kami tahu bahwa kami perlu membangun kemampuan operasi keamanan siber, tetapi kami tidak memiliki anggaran, personel, atau teknologi untuk membangunnya. TINGKAT 2 Kami menggunakan beberapa umpan intelijen tetapi tidak memiliki SOC atau SIEM dan tidak dapat menghubungkan ancaman dengan posisi strategis kami. Kami memiliki sumber daya yang terbatas untuk mendukung praktik operasi keamanan kami.LEVEL 3 Kami memiliki praktik operasi keamanan siber yang mapan dengan personel yang berdedikasi, kami menyusun feed kami dan dapat menghubungkan ancaman dengan lingkungan dan acara organisasi kami, tetapi pendekatan kami bersifat reaktif dan berarti waktu untuk deteksi lebih lama daripada yang kami inginkan. TINGKAT 4 Kami memiliki praktik operasi keamanan siber mapan yang disesuaikan untuk mengenali ancaman yang khusus untuk organisasi kami dan memprioritaskannya sesuai dengan itu. Kami berintegrasi dengan bisnis yang lebih luas.LEVEL 5Praktik operasi keamanan siber kami canggih dan mengoperasikan model pusat fusi yang melampaui fokus pada ancaman TI/OT dan terintegrasi dengan area lain seperti IR, manajemen patch, risiko, dan kepatuhan. Kami dipandang sebagai aset bagi bisnis.
Variasi berbasis peran: CISO berjuang dengan kematangan keamanan siber
Kami mensurvei campuran CISO, Kepala SOC, Kepala IR, Kepala Intelijen Ancaman Siber, dan Arsitek Solusi Keamanan TI dari berbagai vertikal industri termasuk: Pertahanan, Ritel, Layanan Keuangan, Pemerintah Pusat, dan Infrastruktur Nasional Kritis. Responden berasal dari organisasi dengan antara 2.000 dan 10.000+ karyawan. Tanggapan menunjukkan variasi penting dalam bagaimana peran yang berbeda melihat kematangan operasi keamanan mereka, dan ketika direferensikan silang dengan tanggapan atas pertanyaan lain, menunjukkan bahwa adopsi otomasi yang ada dan alokasi anggaran yang lebih besar terkait dengan kematangan.
Anehnya, 262 CISO yang kami survei kurang yakin dengan kematangan pengaturan mereka; posisi rata-rata adalah 2,5 dari lima, dan sebagian besar menilai organisasi mereka pada level 2 (35 persen) yang menunjukkan bahwa mereka memiliki sumber daya yang terbatas untuk mendukung praktik operasi keamanan mereka.
Selanjutnya 27,5 persen memilih level 3 dan 15 persen memilih level 4. Hanya 4 persen mengatakan mereka memiliki praktik lanjutan dan 19 persen mengatakan mereka hanya di level 1 – secara efektif tidak memiliki praktik sama sekali. Hal ini berkorelasi dengan fakta bahwa CISO lebih kecil kemungkinannya daripada responden dalam peran lain untuk mengatakan bahwa mereka telah mengotomatiskan proses keamanan siber utama; hanya sekitar satu dari lima yang mengatakan bahwa mereka telah mengotomatiskan proses seperti manajemen intelijen ancaman, analisis phishing, dan manajemen kerentanan. CISO juga paling mungkin mengatakan anggaran tetap statis dan paling kecil kemungkinannya menerima anggaran bersih baru dibandingkan dengan peran lain (26 persen vs rata-rata 34 persen).
Kepala SOC (n=209) menilai kematangan mereka lebih tinggi daripada rekan CISO mereka, dengan hanya 10 persen memilih level 1 dan peringkat keseluruhan 2,74 dari 5. Rata-rata mereka sedikit lebih mungkin daripada CISO yang sudah mengotomatisasi kasus penggunaan utama , dan lebih banyak dari mereka (32,5 persen) telah menerima anggaran bersih baru.
Kepala Arsitektur Solusi Keamanan TI (n=54) dan Kepala Cyber Threat Intelligence (CTI) (n=114) juga menilai kematangan lebih tinggi daripada CISO (masing-masing pada level 3 dan 2,98). Selain itu, Kepala CTI lebih mungkin mendapatkan anggaran baru bersih dibandingkan dengan sebagian besar peran lainnya (44 persen dibandingkan dengan rata-rata 34 persen) dan 29 persen sudah mengotomatiskan kasus penggunaan utama.
Berdasarkan tanggapan mereka, CISO melihat organisasi mereka kurang matang dalam keamanan siber dan memiliki lebih sedikit sumber daya untuk dicurahkan guna meningkatkan otomatisasi keamanan siber dibandingkan dengan peran lain. Hal ini berpotensi mengkhawatirkan, karena CISO duduk di posisi yang lebih strategis dan memiliki pengaruh yang lebih luas terhadap pendekatan organisasi. Mungkin mereka lebih realistis tentang kinerjanya, atau mungkin mereka tidak memiliki visibilitas atas sejauh mana laporan mereka sudah menggunakan otomatisasi.
Analisis ini juga menunjukkan bahwa semakin banyak proses yang sudah terotomatisasi, dan semakin banyak anggaran bersih baru yang diterima, semakin tinggi responden menilai kematangan organisasi mereka.
Sebagian besar organisasi berada di awal perjalanan menuju kematangan otomatisasi keamanan siber
Secara keseluruhan, sebagian besar responden menilai penyiapan mereka pada level 2 atau 3 pada skala kematangan. Hanya satu dari lima yang mengatakan bahwa mereka memiliki praktik operasi keamanan siber yang mapan yang disesuaikan untuk mengenali ancaman yang khusus untuk organisasi mereka dan memprioritaskannya sesuai dengan itu, dan bahwa mereka berintegrasi dengan bisnis yang lebih luas (level 4). Lebih sedikit lagi, hanya 38 dari 750 yang disurvei, mengatakan bahwa mereka mengoperasikan model yang sangat efektif sehingga dilihat sebagai aset bisnis.
Jelas ada beberapa cara untuk menempuh perjalanan untuk mencapai tingkat kedewasaan yang diinginkan, tetapi itu tidak mengejutkan. Otomasi mungkin merupakan Cawan Suci pertahanan dunia maya yang efisien, tetapi ini masih merupakan disiplin yang relatif baru dan tidak diragukan lagi ada tantangan yang terlibat dalam penerapan dan pencapaian ROI, seperti yang diungkapkan oleh laporan penelitian lengkap kami.
Namun, yang paling mencolok adalah variasi persepsi kematangan operasi keamanan siber di antara peran yang berbeda. CISO tidak diragukan lagi merasa kurang percaya diri dan membutuhkan lebih banyak dukungan untuk mewujudkan peta jalan menuju kedewasaan daripada beberapa rekan mereka di divisi SOC, IR, dan intelijen ancaman dunia maya.
Putusnya hubungan antara CISO dan peran lainnya terlihat jelas di beberapa tanggapan survei dan mungkin menunjukkan posisi yang lebih strategis yang ditempati oleh CISO, karena mereka menghadapi kendala anggaran dan kekurangan keterampilan. Dengan bekerja lebih dekat dengan para profesional di peran lain, mereka mungkin dapat memperoleh pemahaman yang lebih baik tentang nilai dan penerapan otomatisasi keamanan siber dan cara mendemonstrasikan ROI sehingga mereka dapat membuka lebih banyak anggaran dan bergerak mengikuti kurva kematangan.
Kredit foto: Den Rise / Shutterstock
Leon Ward adalah VP Manajemen Produk untuk ThreatQuotient.
