Seberapa sistem aplikasi di Perusahaan anda sudah secara rutin dilakukan patch jika ditemukan adanya suatu celah keamanan / jika versi terbaru dari komponen sistem telah dirilis resmi oleh Perusahaan pembuatnya? Jika merujuk kepada artikel yang terdapat di situs Heimdal Security, menurut data yang diambil dari Edgescan States Report di tahun 2018, waktu rata-rata yang dibutuhkan untuk menemukan celah keamanan adalah 67 hari. Mungkin angka tersebut jika dibandingkan dengan saat ini sudah tidak relevan lagi. Namun, berapa pun angka yang dicantumkan tentunya semakin lama yang dibutuhkan untuk melakukan menemukan dan memitigasi akan menaikkan tingkat risiko terpaparnya Perusahaan yang diakibatkan oleh celah keamanan tersebut.
Penerapan patching pada sistem yang sedang digunakan oleh Perusahaan tentulah tidak semudah seperti yang terdapat didalam text book. Penolakan terhadap penerapan patching dapat dipastikan akan ada dari beberapa pihak dengan berbagai alasan. Kekhawatiran akan keberlangsungan suatu fitur kritikal dalam suatu komponen sistem, terganggunya pencapaian SLA (Service Level Agreement) sistem, tertundanya deadline dari jadwal rilis fitur terbaru sistem adalah sebagian alasan yang mungkin dikemukakan dalam penolakan. Semua itu berujung kepada akan menyebabkan distrupsi operasional Perusahaan.
Anggapan bahwa aktifitas patching akan menyebabkan distrupsi operasional Perusahaan adalah mindset yang harus diubah. Hal ini akan menjadi kendala, apalagi jika ada personil kunci yang tidak memiliki kesadaran informasi yang cukup. Jika mau dibedah lebih lanjut, distrupsi yang terjadi akibat aktifitas patching adalah distrupsi yang sehat dan terkontrol jika direncanakan dan dijalankan dengan baik. Dalam perencanaan aktifitas patching yang baik tentunya akan melibatkan semua pihak yang terlibat, baik dari pihak pemilik sistem (bisnis owner) dan perwakilan teknologi informasi. Kemudian, telah melalui proses ujicoba dan pemantauan di lingkungan pengembangan / non produksi.
Sedangkan, jika dibandingkan distrupsi operasional Perusahaan yang disebabkan oleh insiden keamanan yang disebabkan karena celah keamanan yang terdapat didalam sistem yang sudah diketahuan namun tidak segera di-patching yang dapat mengakibatkan ketidakjelasan kapan sistem Perusahaan dapat beroperasional kembali. Melepaskankan anggapan tersebut bukanlah yang mudah. Ditambah jika Perusahaan tersebut tidak memiliki kewajiban untuk mematuhi standar keamanan tertentu yang mewajibkan dilakukannya aktifitas patching secara rutin seperti PCI DSS dan ISO 27001.
Beberapa tindakan yang patut dicoba untuk mengubah anggapan tersebut antara lain sebagai berikut.
Pembekalan Personil Kunci.
Aktifitas yang dapat dilakukan adalah dengan secara konsisten melakukan diskusi dan pelatihan mengenai kesadaran keamanan informasi yang berfokus kepada manajemen patching kepada para personil kunci. Seluruh personil perlu mengerti bahwa distrupsi yang disebabkan oleh insiden keamanan dapat mengakibatkan kelumpuhan operasional Perusahaan.
Penerapan Manajemen Risiko Pada Sistem Krusial Perusahan.
Manajemen risiko dapat dimanfaatkan sebagai salah satu alat untuk mengukur besarnya risiko yang terdapat dalam celah keamanan jika dimanfaatkan oleh pihak yang tidak bertanggung jawab. Juga, dapat dimanfaatkan sebagai media komunikasi kepada perwakilan Manajemen Puncak dalam menyampaikan risiko yang diketahui.
Simplifikasi Pembuatan Keputusan.
Simplifikasi dalam proses pembuatan keputusan patching dapat mempercepat implementasi patching didalam sistem Perusahaan. Hanya melibatkan pihak-pihak yang akan mendapatkan dampak jika sistem tersebut mengalami masalah.
Mengotomatisasi Implementasi Patching.
Dengan mengotomatisasi implementasi patching dapat memangkas proses-proses manual yang sebelumnya dibutuhkan, sehingga proses implementasi dalam berjalan secara singkat, mulai dari proses pembaharuan, pengujian dan pemantau sistem.
Dengan diterapkannya beberapa maupun seluruh tindakan tersebut belum tentu dapat mengubah anggapan negatif aktifitas patching. Mungkin jalan selanjutnya adalah menunggu Perusahaan belajar dari terjadinya insiden keamanan didalam sistem mereka. Memang itu adalah opsi terakhir, namun yang paling efektif untuk membangun kesadaran akan pentingnya mempunyai manajemen patching yang konsisten dan efisien.