Di banyak organisasi, dashboard keamanan terlihat semakin penuh dengan angka. Namun, angka itu tidak selalu berarti risiko benar-benar turun, dan di sinilah banyak CISO mendapat rasa aman yang keliru.
Masalah utamanya terletak pada metrik tradisional yang terlalu fokus pada volume, bukan hasil. Jumlah scan yang tinggi, banyaknya vulnerability yang ditemukan, atau kenaikan alert memang memberi kesan tim keamanan bekerja keras, tetapi belum tentu membuktikan bahwa serangan benar-benar berhasil dicegah.
Mengapa metrik lama menyesatkan
Metrik keamanan berbasis volume sering dipakai karena mudah dihitung dan mudah dipresentasikan ke dewan direksi. Akan tetapi, ukuran seperti itu hanya menunjukkan aktivitas, bukan efektivitas.
Penelitian yang dikutip dalam artikel referensi menunjukkan bahwa 50% organisasi kini membawa critical security debt, yaitu kerentanan software yang dibiarkan terbuka lebih dari setahun. Fakta ini memperlihatkan bahwa banyak organisasi masih sibuk memperbanyak pemindaian, padahal risiko yang paling berbahaya justru menumpuk di belakang layar.
Situasi ini berbahaya karena dashboard yang terlihat aktif bisa menutupi backlog kerentanan yang belum tertangani. Sebuah tim bisa saja melaporkan ribuan temuan berisiko rendah, sementara satu dependency yang rentan tetap dibiarkan terbuka dan siap dieksploitasi.
Kenapa scan point-in-time tak lagi cukup
Ancaman modern bergerak lebih cepat daripada siklus pemindaian tradisional. Dalam pipeline CI/CD, kode berubah berkali-kali dalam sehari dan dependency juga diperbarui otomatis, sehingga hasil scan sering kali sudah usang ketika dibaca.
Artinya, pelaku ancaman tidak harus “lolos” dari scan. Mereka cukup menunggu perubahan berikutnya, lalu memanfaatkan celah yang muncul di antara dua proses pemeriksaan.
Artikel referensi menegaskan bahwa scanner tradisional biasanya memeriksa source atau binary, tetapi tidak melihat bagian dalam proses build. Kondisi itu membuka peluang bagi malicious build step untuk menyisipkan kode setelah scan selesai, seperti yang pernah terjadi dalam serangan SolarWinds Orion pada 2020 yang berdampak pada ribuan organisasi, termasuk lembaga pemerintah Amerika Serikat.
Metrik yang lebih relevan untuk CISO
Untuk memberi gambaran risiko yang lebih akurat, CISO perlu beralih dari sekadar menghitung aktivitas menuju pengukuran yang menggambarkan paparan nyata. Fokus ini penting karena dewan direksi membutuhkan bukti penurunan risiko, bukan sekadar laporan kerja tim keamanan.
Berikut metrik yang dinilai lebih berguna:
-
Backlog kerentanan yang bisa dieksploitasi
Ukur berapa banyak celah berisiko tinggi yang belum ditutup dan seberapa cepat backlog itu menyusut. -
Waktu perbaikan isu kritis di production
Pantau berapa lama organisasi membutuhkan waktu untuk menutup masalah yang benar-benar berdampak pada layanan. -
Bukti efektivitas kontrol keamanan
Nilai apakah kontrol yang dipasang benar-benar menahan ancaman di dunia nyata, bukan hanya lolos dari pemeriksaan formal. - Undetected attacker dwell time
Ukur berapa lama penyerang bisa berada di lingkungan tanpa terdeteksi, karena durasi ini sering lebih menentukan daripada jumlah scan.
Tabel sederhana: metrik lama vs metrik yang lebih kuat
| Metrik tradisional | Masalah utama | Metrik yang lebih relevan |
|---|---|---|
| Jumlah scan | Mengukur aktivitas, bukan hasil | Penurunan backlog kerentanan |
| Jumlah alert | Bisa menciptakan noise | Waktu deteksi dan waktu perbaikan |
| Jumlah vulnerability ditemukan | Tidak menunjukkan mana yang paling berbahaya | Jumlah flaw yang benar-benar dieksploitasi lalu ditutup |
| Kepatuhan snapshot | Hanya potret sesaat | Validasi kontrol secara berkelanjutan |
Tekanan pada CISO makin besar
Serangan siber yang meningkat membuat peran CISO makin kompleks. Mereka harus membuktikan bahwa keamanan aplikasi dan rantai pasok benar-benar kuat, sementara tim sering kali kekurangan kapasitas untuk menemukan dan menutup semua celah sekaligus.
Artikel referensi menyebut rata-rata waktu perbaikan kerentanan naik dari 171 hari menjadi 252 hari dalam lima tahun terakhir. Keterlambatan ini membuat risiko menumpuk, dan celah yang tampak kecil hari ini bisa berubah menjadi insiden besar di kemudian hari.
Karena itu, ukuran keamanan harus mampu menjawab satu pertanyaan penting: berapa banyak risiko yang berhasil dihilangkan, dan seberapa cepat sistem kembali aman setelah gangguan. Selama organisasi masih mengandalkan metrik lama yang hanya mengukur volume kerja, rasa aman yang muncul bisa jadi hanya ilusi yang menutupi ancaman yang terus bergerak di dalam supply chain dan pipeline.
