Bangun vs beli
MSSP vs SOC internal: keputusan membangun atau membeli
Ringkasnya
Bangun SOC sendiri atau pakai layanan managed? Perbandingan biaya, kebutuhan staf, waktu operasional, dan kapan masing-masing pilihan benar-benar masuk akal.
Setiap organisasi yang menjalankan program keamanan serius pada akhirnya menghadapi pertanyaan yang sama: apakah membangun kemampuan secara internal, atau membelinya dari penyedia layanan? Khusus untuk operasi keamanan, keputusan ini lebih sulit dari yang terlihat di atas kertas, karena biaya nyata di sisi membangun sering kali diremehkan dan risiko nyata di sisi membeli jarang dijelaskan dengan jelas. Halaman ini mencoba memaparkan kedua sisi secara jujur.
Apa yang sebenarnya dibutuhkan untuk menjalankan SOC
Sebelum membandingkan opsi, penting untuk memahami apa yang benar-benar dibutuhkan oleh Security Operations Center agar dapat berfungsi. Tugasnya adalah pemantauan ancaman dan respons secara terus-menerus, yang berarti kebutuhannya bukan hanya alat atau teknologi. Ini soal orang, yang mencakup setiap jam setiap hari.
Perhitungan staf 24/7
Satu kursi analis yang beroperasi penuh sepanjang waktu membutuhkan sekitar 4,5 hingga 5 staf penuh waktu. Angka ini memperhitungkan tiga shift per hari, akhir pekan, hari libur nasional, cuti tahunan, sakit, dan waktu pelatihan. SOC multi-peran yang minimal layak (triage tier-1, investigasi tier-2, shift lead, dan SIEM engineer) membutuhkan 8 hingga 12 orang sebelum program dapat beroperasi secara andal.
Timeline pembangunan 18 hingga 24 bulan
SOC yang fungsional memerlukan analis di ketiga shift, SIEM yang sudah dikalibrasi, dan runbook yang dibangun dari pengalaman insiden nyata. Merekrut dan onboarding tim, mendeploy dan menyetel tooling, serta membangun kualitas deteksi melalui insiden aktual biasanya membutuhkan 18 hingga 24 bulan sebelum program benar-benar operasional.
Attrisi sebagai risiko struktural
Pekerjaan SOC bertekanan tinggi dan berulang di tingkat triage. Tines mensurvei 468 analis SOC pada 2022 dan menemukan 71% melaporkan mengalami burnout di tempat kerja. Ketika analis kunci resign, pengetahuan institusional tentang lingkungan Anda ikut pergi, dan rekrutan berikutnya mulai dari awal dalam penyetelan deteksi.
Struktur biaya, dibandingkan
Kedua model memiliki bentuk biaya yang berbeda secara mendasar, dan ini penting untuk perencanaan Anda.
SOC internal memiliki biaya tetap yang tinggi yang harus dibayar terlepas dari volume ancaman. Personel adalah pos biaya terbesar: gaji, tunjangan, biaya rekrutmen, dan pelatihan berkelanjutan untuk tim 8 hingga 12 analis. Lisensi SIEM menambah biaya variabel yang skalanya bergantung pada volume log dan events per second. Tooling, feed threat intelligence, dan infrastruktur menambah overhead tetap lebih lanjut. Sisi positifnya adalah kontrol maksimal atas program. Sisi negatifnya adalah biaya-biaya tersebut hadir sejak hari pertama, sebelum program mendeteksi ancaman nyata pertamanya.
Managed SOC mengubah sebagian besar biaya tersebut menjadi langganan yang skalanya mengikuti ukuran lingkungan Anda. Anda menukar sebagian kustomisasi dengan kecepatan menghasilkan nilai dan biaya bulanan yang dapat diprediksi. Periode onboarding, biasanya dua hingga empat minggu, adalah sebagian kecil dari 18 hingga 24 bulan pembangunan SOC internal.
Tidak ada jawaban universal mana yang lebih murah. Pada skala sangat besar dengan tim matang yang sudah ada, ekonomi SOC internal bisa membaik. Bagi sebagian besar organisasi Indonesia yang belum menjalankan program keamanan yang substansial, layanan terkelola secara signifikan lebih murah untuk mencapai cakupan yang setara.
Perbandingan berdampingan
| SOC Internal | Managed SOC / MSSP | |
|---|---|---|
| Model biaya | Biaya tetap tinggi sejak hari pertama: gaji 8–12 analis, lisensi SIEM, tooling, pelatihan | Berbasis langganan sesuai ukuran lingkungan; biaya onboarding, lalu biaya bulanan yang dapat diprediksi |
| Waktu menghasilkan nilai | 18 hingga 24 bulan hingga program sepenuhnya operasional | 2 hingga 4 minggu untuk pemantauan 24/7 yang aktif |
| Beban pengelolaan staf | Rekrutmen, manajemen, dan retensi tim spesialis sepenuhnya di tangan Anda | Penyedia menanggung beban staf; Anda mengelola hubungan |
| Cakupan 24/7 | Membutuhkan 4,5–5 FTE per kursi; sulit dipertahankan saat hari libur dan cuti | Selalu aktif sesuai desain; cakupan adalah kewajiban kontraktual penyedia |
| SIEM dan tooling | Anda lisensi, deploy, tuning, dan maintain SIEM serta detection stack | Penyedia mengoperasikan stack; biaya diserap ke dalam layanan |
| Kesesuaian regulasi (OJK, UU PDP) | Memerlukan pembangunan keahlian lokal; tim generik mungkin tidak memahami kerangka OJK | Penyedia berkeahlian Indonesia menerapkan playbook OJK, POJK 11, dan UU PDP secara langsung |
| Risiko ketergantungan individu | Tinggi: ketika analis senior resign, kualitas deteksi menurun hingga pengganti terlatih | Lebih rendah: kedalaman tim penyedia berarti kepergian individu tidak mengganggu cakupan Anda |
| Kedalaman kustomisasi | Kontrol penuh atas logika deteksi, runbook, dan jalur eskalasi | Kustomisasi dalam kerangka penyedia; bervariasi tergantung penyedia |
Volume ancaman yang membuat cakupan tidak bisa ditawar
Lanskap Keamanan Siber Indonesia 2024 yang diterbitkan BSSN mencatat 330.527.636 anomali trafik di jaringan Indonesia sepanjang tahun. Itu sekitar 900.000 potensi insiden yang terdeteksi per hari. Organisasi yang terpapar volume tersebut tidak memilih antara menjadi target atau tidak. Mereka memilih antara memiliki cakupan yang dipantau atau tidak memilikinya.
Laporan IBM Cost of a Data Breach 2024 menemukan bahwa rata-rata siklus hidup pelanggaran data global adalah 258 hari. Itulah jendela antara penyerang mendapatkan akses dan organisasi sepenuhnya mengatasi insiden. SOC yang memantau secara terus-menerus mempersempit jendela itu. Program keamanan yang bergantung pada pemindaian berkala atau penemuan setelah kejadian tidak.
330 juta+
Anomali trafik yang terdeteksi di jaringan Indonesia tahun 2024 (BSSN, Lanskap Keamanan Siber Indonesia 2024)
258 hari
Rata-rata siklus hidup pelanggaran data global tahun 2024 (IBM Cost of a Data Breach 2024)
71%
Analis SOC yang melaporkan burnout dalam survei 2022 terhadap 468 analis (Tines, Voice of the SOC Analyst)
Kapan SOC internal benar-benar masuk akal
Membangun SOC internal tidak selalu pilihan yang salah. Ada situasi di mana itu adalah pilihan yang tepat.
Anda sudah memiliki tim keamanan yang matang dengan 15 orang atau lebih dan SOC memperluas program yang sudah ada, bukan memulai dari nol → SOC Internal
Data yang diklasifikasikan, sensitif terhadap negara, atau terbatas lainnya berarti Anda tidak dapat mengarahkan telemetri keluar infrastruktur organisasi, berdasarkan kebijakan atau regulasi → SOC Internal
Anda memiliki skala (ratusan atau ribuan endpoint yang dipantau) untuk menyebarkan biaya tetap tim analis besar ke basis yang cukup besar agar ekonomi per endpoint berjalan → SOC Internal
Anda adalah perusahaan yang sedang berkembang yang belum membangun tim keamanan khusus, dan Anda membutuhkan cakupan 24/7 sekarang, bukan dalam 18 hingga 24 bulan → Managed SOC / MSSP
Anda menjalankan lingkungan yang diatur di bawah OJK, POJK 11, atau persyaratan PBI dan membutuhkan pemantauan terus-menerus yang terdokumentasi tanpa biaya perekrutan tim spesialis penuh → Managed SOC / MSSP
Risiko ketergantungan pada individu tertentu menjadi perhatian di tingkat dewan direksi dan program keamanan Anda tidak mampu mengalami penurunan kualitas deteksi saat analis berganti → Managed SOC / MSSP
Di mana managed SOC cocok
Bagi organisasi yang telah menilai perbandingan ini dan memutuskan untuk membeli daripada membangun, pertanyaan berikutnya adalah apa yang dimaksud dengan "managed SOC" dalam praktiknya. Label tersebut mencakup berbagai layanan, dan perbedaannya penting.
Layanan monitoring-only memberi Anda alert. Managed SOC yang sejati juga memberi Anda tim yang menyelidiki alert tersebut dan bertindak untuk mengatasi ancaman atas nama Anda. Perbedaan itu, hanya alert versus deteksi dan respons bersama, adalah hal yang perlu diverifikasi dalam setiap proposal. Perbandingan antara dua model tersebut dibahas lebih detail dalam panduan MDR vs MSSP kami.
Bagi organisasi yang mempertimbangkan apakah akan menggunakan penawaran keamanan bundled dari penyedia cloud atau MSSP independen, ada konflik kepentingan struktural yang layak dibaca dalam MSSP independen vs keamanan bundled cloud.
SOC-as-a-Service kami menjalankan deteksi dan respons dari Security Operations Center Jakarta kami: analis yang memantau lingkungan Anda setiap jam, dengan runbook yang diselaraskan dengan persyaratan OJK, UU PDP, dan BSSN, serta pelaporan dalam Bahasa Indonesia dan Bahasa Inggris. Ketika ancaman terdeteksi, kami bertindak. Kami tidak hanya mengirimkan alert kepada Anda.
Referensi
Ditinjau oleh Mohit Bhansali, Head of Technology
Pertanyaan umum
Satu kursi analis yang beroperasi terus-menerus sepanjang waktu membutuhkan sekitar 4,5 hingga 5 staf penuh waktu, setelah memperhitungkan tiga shift per hari, akhir pekan, hari libur nasional, cuti tahunan, sakit, dan waktu pelatihan. SOC multi-peran yang minimal layak (triage tier-1, investigasi tier-2, shift lead, dan SIEM engineer) membutuhkan 8 hingga 12 orang sebelum program dapat beroperasi secara andal.
Terkait
Solusi
Dari blog
Layanan kami
Siap memperkuat keamanan siber Anda?
Bicarakan kebutuhan Anda dengan tim kami di Jakarta.
Tim kami di Jakarta. Kami membalas dalam satu hari kerja.