Pertama, peningkatan kesadaran risiko keamanan. Menurut Roy, metrik ini dapat diukur dengan melakukan survei atau penilaian reguler terhadap anggota tim ISM dan IR untuk mengevaluasi tingkat kesadaran anggota tim terhadap risiko keamanan informasi.
“Kita dapat mengukur peningkatan kesadaran dari waktu ke waktu setelah penerapan framework,” tukasnya.
Kedua, efektifitas respons terhadap insiden. Pengukuran pada metrik ini dapat dilakukan dengan penilaian seberapa cepat tim IR dapat mendeteksi, merespons, dan melakukan recovery dari insiden yang terjadi.
“Ini dapat termasuk waktu rata-rata untuk mendeteksi insiden, waktu rata-rata untuk merespons insiden, dan waktu untuk pemulihan ke kondisi normal setelah insiden terjadi,” tandas Roy.
Ketiga adalah kualitas keputusan. Metrik ini berupa mengukur evaluasi kualitas keputusan keamanan yang dapat dilakukan dengan mengukur tingkat keberhasilan strategi keamanan yang diimplementasikan, seberapa baik keputusan keamanan tersebut mengurangi risiko, dan seberapa baik respons terhadap insiden dilakukan berdasarkan keputusan yang diambil.
“Salah satu di antaranya misal dengan menghitung rasio insiden yang berhasil diatasi dengan keputusan yang diambil, waktu rata-rata untuk merespons insiden sebelum dan setelah penerapan keputusan, atau pengurangan dalam kerugian atau dampak insiden setelah implementasi keputusan keamanan,” jelas Roy.
Keempat adalah kolaborasi dan komunikasi antara tim. Setelah penerapan framework, penilaian atau survei rutin terhadap anggota tim ISM dan IR dapat dilakukan untuk mengukur efektivitas komunikasi dan kerja tim. Misalnya dengan membuat survei atau penilaian untuk mengumpulkan umpan balik dari anggota tim ISM dan IR.
“Survei tentu harus mencakup pertanyaan yang spesifik dan terukur tentang aspek-aspek dari tingkat kepercayaan antar tim ISM dan IR, kemudahan dalam berbagi informasi dan pengetahuan antar tim, persepsi terhadap kolaborasi dan kerjasama yang terjadi, dan bisa juga bagaimana pendapat mereka dengan kerangka kerja (framework) ini dilaksanakan,” tuturnya.
Kelima adalah efisiensi operasional. Roy menerangkan bahwa metrik ini dapat mencakup pengukuran efisiensi operasional dalam mendukung tugas-tugas keamanan informasi, seperti waktu rata-rata untuk mengevaluasi security defense logic, threat intelligence gathering, dan penerapan perubahan keamanan.
Contoh dalam penerapan untuk mengevaluasi security defense logic. Dengan metrik ini, maka dapat dilakukan pengujian bagaimana tim ISM dapat mengukur efektifitas sebuah firewall. Seberapa efektif rata-rata untuk mengevaluasi logika pertahanan sebelum framework.
Diterangkan Roy, misalkan saja untuk waktu evaluasi logika pertahanan adalah 4 jam, dan setelah implementasi framework waktu ini turun menjadi 2 jam. Kondisi pengurangan waktu ini menunjukkan peningkatan efisiensi dalam menanggapi ancaman keamanan.
“Dalam Tim ISM dapat menguji keefektifan firewall atau sistem deteksi intrusi (IDS/IPS) terhadap skenario ancaman baru yang teridentifikasi. Waktu yang dihabiskan dari mulai analisis ancaman hingga penilaian keefektifan solusi dapat direkam,” tandas Roy.
Keenam adalah peningkatan keamanan dan kepatuhan. Metrik ini adalah untuk mengevaluasi tingkat keberhasilan dalam mencapai atau mempertahankan kepatuhan terhadap standar keamanan yang relevan, seperti ISO 27001 dan penyusutan jumlah insiden atau pelanggaran keamanan yang signifikan setelah implementasi sistem.
“Kalau ini tidak perlu saya jelaskan lagi, silakan lihat dokumen standar keamanan seperti ISO 27001, NIST Cybersecurity Framework, NCSC Cyber Essentials, dan sebagainya,” pungkas Roy.
