Langsung ke konten utama

Bangun vs beli

MSSP vs SOC internal: keputusan membangun atau membeli

Ringkasnya

Bangun SOC sendiri atau pakai layanan managed? Perbandingan biaya, kebutuhan staf, waktu operasional, dan kapan masing-masing pilihan benar-benar masuk akal.

Security monitoring

Setiap organisasi yang menjalankan program keamanan serius pada akhirnya menghadapi pertanyaan yang sama: apakah membangun kemampuan secara internal, atau membelinya dari penyedia layanan? Khusus untuk operasi keamanan, keputusan ini lebih sulit dari yang terlihat di atas kertas, karena biaya nyata di sisi membangun sering kali diremehkan dan risiko nyata di sisi membeli jarang dijelaskan dengan jelas. Halaman ini mencoba memaparkan kedua sisi secara jujur.

Apa yang sebenarnya dibutuhkan untuk menjalankan SOC

Sebelum membandingkan opsi, penting untuk memahami apa yang benar-benar dibutuhkan oleh Security Operations Center agar dapat berfungsi. Tugasnya adalah pemantauan ancaman dan respons secara terus-menerus, yang berarti kebutuhannya bukan hanya alat atau teknologi. Ini soal orang, yang mencakup setiap jam setiap hari.

Perhitungan staf 24/7

Satu kursi analis yang beroperasi penuh sepanjang waktu membutuhkan sekitar 4,5 hingga 5 staf penuh waktu. Angka ini memperhitungkan tiga shift per hari, akhir pekan, hari libur nasional, cuti tahunan, sakit, dan waktu pelatihan. SOC multi-peran yang minimal layak (triage tier-1, investigasi tier-2, shift lead, dan SIEM engineer) membutuhkan 8 hingga 12 orang sebelum program dapat beroperasi secara andal.

Timeline pembangunan 18 hingga 24 bulan

SOC yang fungsional memerlukan analis di ketiga shift, SIEM yang sudah dikalibrasi, dan runbook yang dibangun dari pengalaman insiden nyata. Merekrut dan onboarding tim, mendeploy dan menyetel tooling, serta membangun kualitas deteksi melalui insiden aktual biasanya membutuhkan 18 hingga 24 bulan sebelum program benar-benar operasional.

Attrisi sebagai risiko struktural

Pekerjaan SOC bertekanan tinggi dan berulang di tingkat triage. Tines mensurvei 468 analis SOC pada 2022 dan menemukan 71% melaporkan mengalami burnout di tempat kerja. Ketika analis kunci resign, pengetahuan institusional tentang lingkungan Anda ikut pergi, dan rekrutan berikutnya mulai dari awal dalam penyetelan deteksi.

Struktur biaya, dibandingkan

Kedua model memiliki bentuk biaya yang berbeda secara mendasar, dan ini penting untuk perencanaan Anda.

SOC internal memiliki biaya tetap yang tinggi yang harus dibayar terlepas dari volume ancaman. Personel adalah pos biaya terbesar: gaji, tunjangan, biaya rekrutmen, dan pelatihan berkelanjutan untuk tim 8 hingga 12 analis. Lisensi SIEM menambah biaya variabel yang skalanya bergantung pada volume log dan events per second. Tooling, feed threat intelligence, dan infrastruktur menambah overhead tetap lebih lanjut. Sisi positifnya adalah kontrol maksimal atas program. Sisi negatifnya adalah biaya-biaya tersebut hadir sejak hari pertama, sebelum program mendeteksi ancaman nyata pertamanya.

Managed SOC mengubah sebagian besar biaya tersebut menjadi langganan yang skalanya mengikuti ukuran lingkungan Anda. Anda menukar sebagian kustomisasi dengan kecepatan menghasilkan nilai dan biaya bulanan yang dapat diprediksi. Periode onboarding, biasanya dua hingga empat minggu, adalah sebagian kecil dari 18 hingga 24 bulan pembangunan SOC internal.

Tidak ada jawaban universal mana yang lebih murah. Pada skala sangat besar dengan tim matang yang sudah ada, ekonomi SOC internal bisa membaik. Bagi sebagian besar organisasi Indonesia yang belum menjalankan program keamanan yang substansial, layanan terkelola secara signifikan lebih murah untuk mencapai cakupan yang setara.

Perbandingan berdampingan

 SOC InternalManaged SOC / MSSP
Model biayaBiaya tetap tinggi sejak hari pertama: gaji 8–12 analis, lisensi SIEM, tooling, pelatihanBerbasis langganan sesuai ukuran lingkungan; biaya onboarding, lalu biaya bulanan yang dapat diprediksi
Waktu menghasilkan nilai18 hingga 24 bulan hingga program sepenuhnya operasional2 hingga 4 minggu untuk pemantauan 24/7 yang aktif
Beban pengelolaan stafRekrutmen, manajemen, dan retensi tim spesialis sepenuhnya di tangan AndaPenyedia menanggung beban staf; Anda mengelola hubungan
Cakupan 24/7Membutuhkan 4,5–5 FTE per kursi; sulit dipertahankan saat hari libur dan cutiSelalu aktif sesuai desain; cakupan adalah kewajiban kontraktual penyedia
SIEM dan toolingAnda lisensi, deploy, tuning, dan maintain SIEM serta detection stackPenyedia mengoperasikan stack; biaya diserap ke dalam layanan
Kesesuaian regulasi (OJK, UU PDP)Memerlukan pembangunan keahlian lokal; tim generik mungkin tidak memahami kerangka OJKPenyedia berkeahlian Indonesia menerapkan playbook OJK, POJK 11, dan UU PDP secara langsung
Risiko ketergantungan individuTinggi: ketika analis senior resign, kualitas deteksi menurun hingga pengganti terlatihLebih rendah: kedalaman tim penyedia berarti kepergian individu tidak mengganggu cakupan Anda
Kedalaman kustomisasiKontrol penuh atas logika deteksi, runbook, dan jalur eskalasiKustomisasi dalam kerangka penyedia; bervariasi tergantung penyedia

Volume ancaman yang membuat cakupan tidak bisa ditawar

Lanskap Keamanan Siber Indonesia 2024 yang diterbitkan BSSN mencatat 330.527.636 anomali trafik di jaringan Indonesia sepanjang tahun. Itu sekitar 900.000 potensi insiden yang terdeteksi per hari. Organisasi yang terpapar volume tersebut tidak memilih antara menjadi target atau tidak. Mereka memilih antara memiliki cakupan yang dipantau atau tidak memilikinya.

Laporan IBM Cost of a Data Breach 2024 menemukan bahwa rata-rata siklus hidup pelanggaran data global adalah 258 hari. Itulah jendela antara penyerang mendapatkan akses dan organisasi sepenuhnya mengatasi insiden. SOC yang memantau secara terus-menerus mempersempit jendela itu. Program keamanan yang bergantung pada pemindaian berkala atau penemuan setelah kejadian tidak.

330 juta+

Anomali trafik yang terdeteksi di jaringan Indonesia tahun 2024 (BSSN, Lanskap Keamanan Siber Indonesia 2024)

258 hari

Rata-rata siklus hidup pelanggaran data global tahun 2024 (IBM Cost of a Data Breach 2024)

71%

Analis SOC yang melaporkan burnout dalam survei 2022 terhadap 468 analis (Tines, Voice of the SOC Analyst)

Kapan SOC internal benar-benar masuk akal

Membangun SOC internal tidak selalu pilihan yang salah. Ada situasi di mana itu adalah pilihan yang tepat.

Anda sudah memiliki tim keamanan yang matang dengan 15 orang atau lebih dan SOC memperluas program yang sudah ada, bukan memulai dari nol SOC Internal

Data yang diklasifikasikan, sensitif terhadap negara, atau terbatas lainnya berarti Anda tidak dapat mengarahkan telemetri keluar infrastruktur organisasi, berdasarkan kebijakan atau regulasi SOC Internal

Anda memiliki skala (ratusan atau ribuan endpoint yang dipantau) untuk menyebarkan biaya tetap tim analis besar ke basis yang cukup besar agar ekonomi per endpoint berjalan SOC Internal

Anda adalah perusahaan yang sedang berkembang yang belum membangun tim keamanan khusus, dan Anda membutuhkan cakupan 24/7 sekarang, bukan dalam 18 hingga 24 bulan Managed SOC / MSSP

Anda menjalankan lingkungan yang diatur di bawah OJK, POJK 11, atau persyaratan PBI dan membutuhkan pemantauan terus-menerus yang terdokumentasi tanpa biaya perekrutan tim spesialis penuh Managed SOC / MSSP

Risiko ketergantungan pada individu tertentu menjadi perhatian di tingkat dewan direksi dan program keamanan Anda tidak mampu mengalami penurunan kualitas deteksi saat analis berganti Managed SOC / MSSP

Di mana managed SOC cocok

Bagi organisasi yang telah menilai perbandingan ini dan memutuskan untuk membeli daripada membangun, pertanyaan berikutnya adalah apa yang dimaksud dengan "managed SOC" dalam praktiknya. Label tersebut mencakup berbagai layanan, dan perbedaannya penting.

Layanan monitoring-only memberi Anda alert. Managed SOC yang sejati juga memberi Anda tim yang menyelidiki alert tersebut dan bertindak untuk mengatasi ancaman atas nama Anda. Perbedaan itu, hanya alert versus deteksi dan respons bersama, adalah hal yang perlu diverifikasi dalam setiap proposal. Perbandingan antara dua model tersebut dibahas lebih detail dalam panduan MDR vs MSSP kami.

Bagi organisasi yang mempertimbangkan apakah akan menggunakan penawaran keamanan bundled dari penyedia cloud atau MSSP independen, ada konflik kepentingan struktural yang layak dibaca dalam MSSP independen vs keamanan bundled cloud.

SOC-as-a-Service kami menjalankan deteksi dan respons dari Security Operations Center Jakarta kami: analis yang memantau lingkungan Anda setiap jam, dengan runbook yang diselaraskan dengan persyaratan OJK, UU PDP, dan BSSN, serta pelaporan dalam Bahasa Indonesia dan Bahasa Inggris. Ketika ancaman terdeteksi, kami bertindak. Kami tidak hanya mengirimkan alert kepada Anda.

Referensi

  1. 1.IBM. "Cost of a Data Breach Report 2024." IBM Newsroom, Juli 2024.
  2. 2.BSSN. "Lanskap Keamanan Siber Indonesia 2024." Direktorat Operasi Keamanan Siber, Badan Siber dan Sandi Negara, 2025.
  3. 3.Tines. "Voice of the SOC Analyst." Survei terhadap 468 analis SOC, 2022.

Ditinjau oleh Mohit Bhansali, Head of Technology

Pertanyaan umum

Satu kursi analis yang beroperasi terus-menerus sepanjang waktu membutuhkan sekitar 4,5 hingga 5 staf penuh waktu, setelah memperhitungkan tiga shift per hari, akhir pekan, hari libur nasional, cuti tahunan, sakit, dan waktu pelatihan. SOC multi-peran yang minimal layak (triage tier-1, investigasi tier-2, shift lead, dan SIEM engineer) membutuhkan 8 hingga 12 orang sebelum program dapat beroperasi secara andal.

Terkait

Siap memperkuat keamanan siber Anda?

Bicarakan kebutuhan Anda dengan tim kami di Jakarta.

Tim kami di Jakarta. Kami membalas dalam satu hari kerja.