Apakah Google Cloud atau AWS bisa merekomendasikan meninggalkan produk mereka sendiri?

Ini adalah inti konflik kepentingan. Cloud provider yang juga menjual keamanan memiliki insentif finansial untuk merekomendasikan solusi yang memperkuat penggunaan platform mereka. MSSP independen tidak memiliki SKU cloud yang perlu dipertahankan, sehingga rekomendasinya tidak terikat pada ekosistem vendor tertentu.

Apakah MSSP bawaan cloud lebih murah?

Di permukaan, ya, karena biayanya sering dikonsolidasikan dalam tagihan cloud yang ada. Tetapi perbandingan biaya yang benar harus mempertimbangkan: apakah cakupan pemantauannya setara, apakah ada kemampuan threat hunting, dan berapa biaya switching jika Anda berpindah cloud di masa depan. Penguncian vendor keamanan lebih mahal daripada penguncian layanan cloud biasa.

OJK mengatur MSSP mana yang boleh digunakan bank?

POJK 11/2022 tidak mewajibkan penggunaan MSSP tertentu, tetapi mengharuskan uji tuntas dalam memilih pihak ketiga termasuk penyedia keamanan. Independensi dari vendor infrastruktur adalah faktor yang layak didokumentasikan dalam due diligence Anda kepada OJK.

Apa yang dimaksud dengan multi-cloud dalam konteks keamanan?

Strategi multi-cloud berarti menggunakan lebih dari satu cloud provider. MSSP independen dapat memantau dan melindungi lingkungan multi-cloud secara konsisten dari satu tempat. MSSP bawaan cloud biasanya hanya optimal untuk platform mereka sendiri, sehingga Anda perlu beberapa lapisan keamanan yang berbeda untuk setiap provider.

MSSP independen vs keamanan bawaan cloud provider

Setelah memilih cloud provider, langkah selanjutnya yang paling mudah adalah membeli paket keamanan yang ditawarkan oleh provider yang sama. Google Cloud menawarkan Security MSSP-nya, AWS punya Security Hub dan layanan terkelola, dan keduanya menjanjikan integrasi yang mulus. Ini terasa logis, dan sebagian memang logis.

Tetapi ada pertanyaan yang jarang diajukan dalam proses pembelian itu: ketika tim keamanan Anda mendeteksi masalah, apakah mereka memiliki insentif untuk merekomendasikan solusi yang mengurangi penggunaan cloud Anda, atau justru yang meningkatkannya?

Konflik kepentingan yang jarang dibicarakan

Cloud provider adalah bisnis dengan target pendapatan per akun. Layanan keamanan yang mereka jual tidak berada dalam silo yang terpisah dari tim penjualan utama mereka.

MSSP bawaan cloud

Terintegrasi secara native dengan platform cloud Anda, yang membuat deployment lebih cepat. Tetapi tim yang mengelolanya adalah tim yang sama yang ingin Anda menggunakan lebih banyak layanan cloud. Rekomendasinya sulit sepenuhnya netral.

MSSP independen

Tidak memiliki SKU cloud yang perlu dipertahankan. Rekomendasinya bisa menyarankan pengurangan layanan cloud, pindah ke provider lain, atau bahkan kembali ke infrastruktur on-premise untuk beban kerja tertentu.

Ini bukan tuduhan buruk sangka. Ini adalah masalah struktural yang sama seperti ketika auditor keuangan juga menjual konsultasi kepada klien yang sama, atau ketika penasihat investasi mendapat komisi dari produk yang mereka rekomendasikan.

Perbandingan praktis

	Keamanan bawaan cloud provider	MSSP independen
Netralitas rekomendasi	Terikat pada ekosistem vendor	Tidak memiliki insentif vendor
Cakupan multi-cloud	Optimal untuk platform sendiri, terbatas di luar itu	Konsisten di semua cloud dan on-premise
Kemudahan migrasi di masa depan	Keamanan mengunci Anda lebih dalam ke satu cloud	Tidak menambah switching cost untuk perubahan infrastruktur
Kedalaman threat hunting	Bergantung pada paket yang dipilih	Threat hunting sebagai layanan inti, bukan upsell
Kepatuhan regulasi Indonesia (OJK, UU PDP)	Template global, jarang disesuaikan untuk regulasi lokal	Playbook khusus OJK, POJK 11, UU PDP, BSSN
Pengetahuan tentang ancaman lokal	Global telemetry, kurang spesifik Indonesia	Intelijen ancaman yang relevan dengan konteks Indonesia
Akuntabilitas insiden	Dalam ekosistem yang sama dengan provider infrastruktur	Terpisah dari provider infrastruktur, kontrak independen

Kapan keamanan bawaan cloud masuk akal

Tidak semua situasi membutuhkan MSSP independen. Ada skenario di mana keamanan bawaan cloud adalah pilihan yang wajar.

Startup early-stage dengan tim keamanan nolBeban kerja tidak regulasi-sensitifSingle cloud, tidak ada rencana multi-cloudAnggaran sangat terbatas dan integrasi native mengurangi biaya operasional secara signifikan

Untuk organisasi di luar kondisi ini, terutama yang beroperasi di sektor keuangan, kesehatan, atau pemerintahan di Indonesia, pertimbangan lebih dalam diperlukan.

Kapan independensi menjadi kritis

1
Regulasi mewajibkan pengawasan pihak ketiga yang independen
OJK secara eksplisit menekankan pentingnya pengawasan pihak ketiga yang independen dalam tata kelola keamanan siber. Menggunakan MSSP dari provider infrastruktur yang sama dapat memperlemah argumen independensi ini dalam audit.
2
Anda menjalankan strategi multi-cloud atau hybrid
MSSP bawaan cloud satu provider tidak memiliki insentif untuk melindungi beban kerja di cloud lain secara optimal. Hasilnya adalah blind spot di lingkungan hybrid Anda.
3
Insiden keamanan bisa melibatkan cloud provider
Ketika investigasi insiden mengarah ke konfigurasi atau kebijakan di platform cloud sendiri, tim keamanan dari provider yang sama memiliki konflik kepentingan struktural dalam melaporkan temuan secara lengkap.
4
Anda berencana berpindah atau menambah cloud provider
Keamanan yang terpisah dari infrastruktur membuat perubahan provider jauh lebih mudah. Anda tidak perlu merestrukturisasi postur keamanan setiap kali keputusan infrastruktur berubah.

Pertanyaan yang harus diajukan kepada setiap penyedia

Sebelum memutuskan, tanyakan langsung kepada setiap kandidat, baik cloud provider maupun MSSP independen: apakah rekomendasinya pernah menyarankan klien untuk mengurangi penggunaan layanan cloud atau berpindah provider? Bagaimana mereka menangani situasi di mana ancaman keamanan berasal dari konfigurasi platform cloud itu sendiri? Berapa banyak klien mereka yang menjalankan lingkungan multi-cloud, dan bagaimana cakupannya di seluruh provider?

Jawaban atas pertanyaan ini lebih informatif daripada brosur apa pun.

MSSP independen vs keamanan bawaan cloud: mana yang lebih baik untuk Anda?

Konflik kepentingan yang jarang dibicarakan

Perbandingan praktis

Kapan keamanan bawaan cloud masuk akal

Kapan independensi menjadi kritis

Pertanyaan yang harus diajukan kepada setiap penyedia

Pertanyaan umum

Terkait

Layanan kami

Siap memperkuat keamanan siber Anda?