Memilih Vendor SIEM yang baik?
Akhir-akhir ini, aplikasi Security Incident/Event Management (SIEM) sedang naik daun. Ini opini pribadi saya. Dilarang mencela. Ya, paling tidak dibandingkan dengan waktu-waktu kemarin. Pertanyaannya, kalo anda berada di posisi end user, bagaimana menentukan vendor jasa SIEM yang bagus?
Ada 3 hal yang perlu anda pertimbangkan ketika mencari vendor untuk jasa ini.
1. Berapa lama vendor anda memiliki pengalaman mengelola sebuah Security Operation Center?
Jangan pernah memberi kesempatan pada vendor-vendor yang bersifat oportunis atau berjiwa pedagang. Bisnis utama vendor jenis ini sebetulnya tidak di area SIEM. Tapi karena melihat untung yang besar, kesempatan yang suangat bagus, mereka akan memaksakan diri mengerahkan resource yang mereka miliki secara instan untuk project ini. Memang tidak semua perusahaan baru, atau lini jasa baru dibuat secara instan. Tapi anda bisa melihat penjelasan no 2. Gampangnya, kalo ada vendor yang mengaku-ngaku ahli di bidang jasa SIEM, mereka seharusnya bisa membuktikan keberadaan Security Operation Center (SOC) yang sudah mereka kelola sendiri baik untuk kepentingan internal maupun eksternal. Tinggal anda yang menentukan berapa jumlah SOC yang sudah dikelola oleh setiap vendor tersebut supaya bisa lolos ke babak berikutnya.
2. Seberapa matang vendor anda di bisnis ini?
Kematangan sebuah vendor bisa diukur menggunakan berbagai macam framework dan tool. Tapi ada cara sederhana yang bisa dilakukan. Kalo setiap vendor sudah melewati filter pertama di atas, anda bisa melihat prosedur yang mereka gunakan sehari-hari dalam SOC mereka. Selain prosedur, anda juga harus mempertimbangkan kualitas laporan-laporan rutin yang mereka hasilkan dalam SOC mereka. Di fase ini, anda akan bisa melihat kematangan vendor-vendor yang anda undang. Mana yang instan dan mana yang memiliki fondasi kuat.
Lalu bagaimana kalo anda bertemu dengan sebuah vendor yang belum punya pengalaman? Gampang. Anda bisa lihat track record dari setiap personel yang akan terlibat dalam project ini. Siapa tahu mereka punya pengalaman yang maknyus dalam mengelola SIEM atau mengoperasikan SOC. Mungkin vendor jenis ini bisa lebih anda pertimbangkan daripada vendor yang memiliki record pengelolaan SIEM atau SOC tapi resource yang terlibat dalam project anda nantinya adalah orang baru dalam domain ini.
3. Produk SIEM yang baik tidak harus dari Gartner?
Bagi anda yang maniak dengan review dari Gartner, saya akan berikan pilihan. Mana yang akan anda pilih. Sebuah vendor dengan produk SIEM yang tidak masuk review oleh Gartner, tetapi resourcnya memiliki pengalaman bertahun-tahun mengelola SOC maupun membangun private SOC untuk customernya dengan produk tersebut. Atau, sebuah vendor yang membawa produk SIEM yang masuk dalam tiga besar dalam review Gartner, tapi resourcenya tidak memiliki pengalaman mengelola SOC.
4. Jangan pernah percaya pada proposal?
Saya lebih menyarankan anda untuk “memaksa” calon vendor anda melakukan Proof of Concept (POC) daripada hanya mengandalkan informasi dari proposal. Di atas proposal, kecap selalu nomor satu. Selain untuk mengetahui performa dari barang yang ditawarkan, melalui POC anda juga bisa melihat kesiapan resouce dari vendor yang kelak akan “melayani” anda. Jika memungkinkan, ajukan site visit ke lokasi customer yang sudah mereka layani atau SOC internal mereka. Di sana, anda bisa melakukan semacam audit kecil dengan cara melakukan interview kepada pelaku dan penerima jasa.
Selamat memilih vendor SIEM dengan baik!
