Pelajari cara mengukur risiko siber dengan metrik keamanan untuk pengambilan keputusan berbasis data dan manajemen risiko yang efektif dalam konteks global.
Metrik Keamanan: Kuantifikasi Risiko – Perspektif Global
Dalam lanskap digital yang berkembang pesat, keamanan siber yang efektif bukan lagi hanya tentang menerapkan kontrol keamanan; ini tentang memahami dan mengukur risiko. Hal ini memerlukan pendekatan berbasis data yang memanfaatkan metrik keamanan untuk memberikan wawasan yang dapat ditindaklanjuti. Postingan blog ini mengeksplorasi peran penting metrik keamanan dalam kuantifikasi risiko, menawarkan perspektif global tentang penerapan dan manfaatnya.
Pentingnya Kuantifikasi Risiko
Kuantifikasi risiko adalah proses memberikan nilai numerik pada risiko keamanan siber. Hal ini memungkinkan organisasi untuk:
- Memprioritaskan Risiko: Mengidentifikasi dan fokus pada ancaman yang paling kritis.
- Membuat Keputusan Berbasis Informasi: Mendasarkan investasi keamanan dan alokasi sumber daya pada data.
- Berkomunikasi secara Efektif: Mengartikulasikan tingkat risiko secara jelas kepada para pemangku kepentingan.
- Mengukur Kemajuan: Melacak efektivitas langkah-langkah keamanan dari waktu ke waktu.
- Memenuhi Persyaratan Kepatuhan: Mematuhi peraturan seperti GDPR, CCPA, dan ISO 27001 yang sering kali mewajibkan penilaian dan pelaporan risiko.
Tanpa kuantifikasi risiko, upaya keamanan dapat menjadi reaktif dan tidak efisien, berpotensi membuat organisasi rentan terhadap kerugian finansial yang signifikan, kerusakan reputasi, dan tanggung jawab hukum.
Metrik Keamanan Utama untuk Kuantifikasi Risiko
Program metrik keamanan yang komprehensif melibatkan pengumpulan, analisis, dan pelaporan berbagai metrik. Berikut adalah beberapa area utama yang perlu dipertimbangkan:
1. Manajemen Kerentanan
Manajemen kerentanan berfokus pada identifikasi dan perbaikan kelemahan dalam sistem dan aplikasi. Metrik utama meliputi:
- Waktu Rata-rata untuk Perbaikan (MTTR): Waktu rata-rata yang dibutuhkan untuk memperbaiki kerentanan. MTTR yang lebih rendah menunjukkan proses perbaikan yang lebih efisien. Ini sangat penting secara global, karena zona waktu dan tim yang terdistribusi di berbagai negara dapat memengaruhi waktu respons.
- Skor Tingkat Keparahan Kerentanan (misalnya, CVSS): Tingkat keparahan kerentanan berdasarkan sistem penilaian standar. Organisasi menggunakan skor ini untuk memahami potensi dampak dari setiap kerentanan.
- Jumlah Kerentanan per Aset: Membantu memahami lanskap kerentanan keseluruhan dari infrastruktur organisasi Anda. Bandingkan ini di berbagai jenis aset untuk mengidentifikasi area yang memerlukan perhatian lebih besar.
- Persentase Kerentanan Kritis yang Diperbaiki: Persentase kerentanan dengan tingkat keparahan tinggi yang telah berhasil ditangani. Ini sangat penting untuk mengukur pengurangan risiko.
- Tingkat Penambalan Kerentanan: Persentase sistem dan aplikasi yang telah ditambal terhadap kerentanan yang diketahui dalam jangka waktu tertentu (misalnya, mingguan, bulanan).
Contoh: Sebuah perusahaan multinasional dengan kantor di AS, India, dan Inggris mungkin melacak MTTR secara terpisah untuk setiap wilayah guna mengidentifikasi tantangan geografis yang memengaruhi upaya perbaikan (misalnya, perbedaan waktu, ketersediaan sumber daya). Mereka mungkin juga memprioritaskan penambalan berdasarkan skor CVSS, dengan fokus pertama pada kerentanan yang memengaruhi sistem bisnis kritis, terlepas dari lokasi. Pertimbangkan persyaratan hukum setiap wilayah saat mengembangkan metrik ini; misalnya, GDPR dan CCPA memiliki persyaratan yang berbeda untuk pelanggaran data berdasarkan lokasi data yang terdampak.
2. Intelijen Ancaman
Intelijen ancaman memberikan wawasan tentang lanskap ancaman, memungkinkan pertahanan proaktif. Metrik utama meliputi:
- Jumlah Aktor Ancaman yang Menargetkan Organisasi: Melacak aktor atau kelompok spesifik yang secara aktif menargetkan organisasi Anda memungkinkan pemfokusan pada ancaman yang paling mungkin terjadi.
- Jumlah Indikator Ancaman yang Terdeteksi: Jumlah indikator berbahaya (misalnya, tanda tangan malware, IP mencurigakan) yang teridentifikasi di seluruh sistem keamanan Anda.
- Persentase Ancaman yang Diblokir: Efektivitas kontrol keamanan dalam mencegah ancaman masuk ke organisasi.
- Waktu untuk Mendeteksi Ancaman: Waktu yang dibutuhkan untuk mengidentifikasi insiden keamanan. Meminimalkan waktu ini sangat penting untuk meminimalkan kerusakan.
- Jumlah Positif Palsu: Indikasi akurasi sistem deteksi ancaman Anda. Terlalu banyak positif palsu dapat menciptakan kelelahan peringatan (alert fatigue) dan menghambat respons.
Contoh: Sebuah lembaga keuangan global dapat menggunakan intelijen ancaman untuk melacak aktivitas penjahat siber yang bermotif finansial, mengidentifikasi kampanye phishing dan serangan malware yang menargetkan pelanggannya di berbagai negara. Mereka dapat mengukur jumlah email phishing yang diblokir di berbagai wilayah (misalnya, Eropa, Asia-Pasifik, Amerika Utara) dan waktu yang dibutuhkan untuk mendeteksi serta merespons upaya phishing yang berhasil. Ini membantu menyesuaikan program kesadaran keamanan dengan ancaman regional spesifik dan meningkatkan tingkat deteksi phishing.
3. Respons Insiden
Respons insiden berfokus pada penanganan dan mitigasi insiden keamanan. Metrik utama meliputi:
- Waktu Rata-rata untuk Mendeteksi (MTTD): Waktu rata-rata untuk mengidentifikasi insiden keamanan. Ini adalah metrik penting untuk mengukur efektivitas pemantauan keamanan.
- Waktu Rata-rata untuk Penahanan (MTTC): Waktu rata-rata untuk menahan insiden keamanan, mencegah kerusakan lebih lanjut.
- Waktu Rata-rata untuk Pemulihan (MTTR): Waktu rata-rata untuk memulihkan layanan dan data setelah insiden keamanan.
- Jumlah Insiden yang Ditangani: Volume insiden keamanan yang harus direspons oleh tim respons insiden.
- Biaya Insiden: Dampak finansial dari insiden keamanan, termasuk biaya perbaikan, produktivitas yang hilang, dan biaya hukum.
- Persentase Insiden yang Berhasil Ditahan: Efektivitas prosedur respons insiden.
Contoh: Sebuah perusahaan e-commerce internasional dapat melacak MTTD untuk pelanggaran data, membandingkan hasil di berbagai wilayah. Jika terjadi pelanggaran, tim respons insiden di wilayah dengan MTTD yang lebih tinggi akan dianalisis untuk mengidentifikasi hambatan atau area untuk perbaikan dalam prosedur respons insiden. Mereka kemungkinan akan memprioritaskan insiden keamanan berdasarkan persyaratan peraturan di wilayah tempat pelanggaran terjadi, yang pada gilirannya memengaruhi metrik penahanan dan pemulihan.
4. Kesadaran dan Pelatihan Keamanan
Kesadaran dan pelatihan keamanan bertujuan untuk mendidik karyawan tentang ancaman keamanan dan praktik terbaik. Metrik utama meliputi:
- Tingkat Klik Tautan Phishing: Persentase karyawan yang mengklik email phishing selama kampanye phishing simulasi. Tingkat yang lebih rendah menunjukkan pelatihan yang lebih efektif.
- Tingkat Penyelesaian Pelatihan Kesadaran Keamanan: Persentase karyawan yang menyelesaikan pelatihan keamanan yang diwajibkan.
- Skor Retensi Pengetahuan: Mengukur efektivitas pelatihan dengan menilai pemahaman karyawan tentang konsep keamanan.
- Email Phishing yang Dilaporkan: Jumlah email phishing yang dilaporkan oleh karyawan.
Contoh: Sebuah perusahaan manufaktur global dengan pabrik dan kantor di berbagai negara dapat menyesuaikan program pelatihan kesadaran keamanannya dengan nuansa budaya dan bahasa di setiap wilayah. Mereka kemudian akan melacak tingkat klik tautan phishing, tingkat penyelesaian, dan skor retensi pengetahuan di setiap negara untuk menilai efektivitas program yang dilokalkan ini dan menyesuaikannya. Metrik dapat dibandingkan antar wilayah untuk mengidentifikasi praktik terbaik.
5. Efektivitas Kontrol Keamanan
Menilai efektivitas kontrol keamanan yang diterapkan. Metrik utama meliputi:
- Kepatuhan terhadap Kebijakan dan Prosedur Keamanan: Diukur melalui hasil audit.
- Jumlah Kegagalan Kontrol Keamanan: Jumlah berapa kali kontrol keamanan gagal berfungsi seperti yang diharapkan.
- Waktu Aktif Sistem: Persentase waktu di mana sistem kritis beroperasi.
- Kinerja Jaringan: Ukuran latensi jaringan, pemanfaatan bandwidth, dan kehilangan paket.
Contoh: Sebuah perusahaan logistik global dapat menggunakan indikator kinerja utama (KPI) "persentase dokumen pengiriman yang patuh" untuk mengevaluasi efektivitas enkripsi dan kontrol aksesnya. Audit kepatuhan kemudian akan digunakan untuk menentukan apakah kontrol ini berfungsi sebagaimana mestinya di lokasi-lokasi internasional.
Menerapkan Metrik Keamanan: Panduan Langkah-demi-Langkah
Menerapkan metrik keamanan dengan sukses memerlukan pendekatan terstruktur. Berikut adalah panduan langkah-demi-langkah:
1. Tentukan Objektif dan Tujuan
Identifikasi Selera Risiko Anda: Sebelum memilih metrik, definisikan dengan jelas selera risiko organisasi Anda. Apakah Anda bersedia menerima tingkat risiko yang lebih tinggi untuk memfasilitasi kelincahan bisnis, atau Anda memprioritaskan keamanan di atas segalanya? Ini akan menginformasikan pilihan metrik dan ambang batas yang dapat diterima. Tetapkan Objektif Keamanan: Apa yang ingin Anda capai dengan program keamanan Anda? Apakah Anda ingin mengurangi permukaan serangan, meningkatkan waktu respons insiden, atau memperkuat perlindungan data? Objektif Anda harus selaras dengan tujuan bisnis Anda secara keseluruhan. Contoh: Sebuah perusahaan jasa keuangan bertujuan untuk mengurangi risiko pelanggaran data sebesar 20% dalam tahun depan. Mereka memiliki objektif yang berfokus pada peningkatan manajemen kerentanan, respons insiden, dan kesadaran keamanan.
2. Identifikasi Metrik yang Relevan
Selaraskan Metrik dengan Objektif: Pilih metrik yang secara langsung mengukur kemajuan menuju objektif keamanan Anda. Jika Anda ingin meningkatkan respons insiden, Anda mungkin fokus pada MTTD, MTTC, dan MTTR. Pertimbangkan Standar Industri: Manfaatkan kerangka kerja seperti NIST Cybersecurity Framework, ISO 27001, dan CIS Controls untuk mengidentifikasi metrik dan tolok ukur yang relevan. Sesuaikan Metrik dengan Lingkungan Anda: Adaptasikan pilihan metrik Anda dengan industri spesifik, ukuran bisnis, dan lanskap ancaman Anda. Organisasi yang lebih kecil mungkin memprioritaskan metrik yang berbeda dari perusahaan multinasional besar. Contoh: Sebuah organisasi layanan kesehatan mungkin memprioritaskan metrik yang berkaitan dengan kerahasiaan, integritas, dan ketersediaan data, karena peraturan HIPAA di Amerika Serikat dan undang-undang privasi data serupa di negara lain.
3. Kumpulkan Data
Otomatiskan Pengumpulan Data: Manfaatkan alat keamanan seperti sistem Security Information and Event Management (SIEM), pemindai kerentanan, dan solusi Endpoint Detection and Response (EDR) untuk mengotomatiskan pengumpulan data. Otomatisasi mengurangi upaya manual dan memastikan konsistensi data. Tentukan Sumber Data: Identifikasi sumber data Anda, seperti log, basis data, dan konfigurasi sistem. Pastikan Akurasi dan Integritas Data: Terapkan validasi data dan langkah-langkah kontrol kualitas untuk memastikan akurasi dan keandalan metrik Anda. Pertimbangkan untuk menggunakan enkripsi data sesuai dengan hukum yang berlaku untuk melindungi data saat transit dan saat disimpan, terutama jika Anda mengumpulkannya dari berbagai yurisdiksi. Contoh: Sebuah jaringan ritel global dapat memanfaatkan sistem SIEM-nya untuk mengumpulkan data dari sistem point-of-sale (POS), perangkat jaringan, dan peralatan keamanannya di semua tokonya, memastikan pengumpulan data yang konsisten di berbagai lokasi dan zona waktu.
4. Analisis Data
Tetapkan Garis Dasar (Baseline): Sebelum menganalisis data, tetapkan garis dasar untuk digunakan sebagai acuan pengukuran perubahan di masa mendatang. Ini memungkinkan Anda untuk melihat tren dalam data Anda dan menentukan apakah tindakan Anda efektif. Analisis Tren dan Pola: Cari tren, pola, dan anomali dalam data Anda. Ini akan membantu Anda mengidentifikasi area kekuatan dan kelemahan. Bandingkan Data Antar Periode Waktu: Bandingkan data Anda selama periode waktu yang berbeda untuk melacak kemajuan dan mengidentifikasi area yang memerlukan perhatian lebih. Pertimbangkan untuk membuat bagan deret waktu untuk memvisualisasikan tren. Korelasikan Metrik: Cari korelasi antara metrik yang berbeda. Misalnya, tingkat klik tautan phishing yang tinggi mungkin berkorelasi dengan tingkat penyelesaian pelatihan kesadaran keamanan yang rendah. Contoh: Sebuah perusahaan teknologi, yang menganalisis data kerentanan yang dikumpulkan dari pemindai kerentanan, mungkin menemukan korelasi antara jumlah kerentanan kritis dan jumlah port terbuka di servernya. Hal ini kemudian dapat menginformasikan strategi penambalan dan keamanan jaringan.
5. Laporkan dan Komunikasikan
Kembangkan Laporan yang Bermakna: Buat laporan yang jelas, ringkas, dan menarik secara visual yang merangkum temuan Anda. Sesuaikan laporan dengan kebutuhan spesifik audiens Anda. Gunakan Visualisasi Data: Gunakan bagan, grafik, dan dasbor untuk mengkomunikasikan informasi yang kompleks secara efektif. Visualisasi dapat memudahkan para pemangku kepentingan untuk memahami dan menafsirkan data. Komunikasikan kepada Pemangku Kepentingan: Bagikan temuan Anda dengan para pemangku kepentingan yang relevan, termasuk manajemen eksekutif, staf TI, dan tim keamanan. Berikan wawasan dan rekomendasi yang dapat ditindaklanjuti untuk perbaikan. Sajikan Temuan kepada Pengambil Keputusan: Jelaskan temuan Anda kepada para pengambil keputusan dengan cara yang mudah mereka pahami, menjelaskan dampak bisnis, biaya, dan jadwal untuk menerapkan rekomendasi. Contoh: Sebuah perusahaan telekomunikasi, yang menganalisis data respons insiden, menyiapkan laporan bulanan yang merinci jumlah insiden, waktu untuk mendeteksi dan merespons, serta biaya insiden tersebut untuk tim eksekutif. Informasi ini akan membantu perusahaan dalam menciptakan rencana respons insiden yang lebih efektif.
6. Ambil Tindakan
Kembangkan Rencana Aksi: Berdasarkan analisis Anda, kembangkan rencana aksi untuk mengatasi kelemahan yang teridentifikasi dan meningkatkan postur keamanan Anda. Prioritaskan tindakan berdasarkan risiko dan dampak. Terapkan Langkah-langkah Perbaikan: Ambil langkah-langkah konkret untuk mengatasi masalah yang teridentifikasi. Ini mungkin melibatkan penambalan kerentanan, pembaruan kontrol keamanan, atau peningkatan program pelatihan. Perbarui Kebijakan dan Prosedur: Tinjau dan perbarui kebijakan dan prosedur keamanan untuk mencerminkan perubahan dalam lanskap ancaman dan meningkatkan postur keamanan Anda. Pantau Kemajuan: Terus pantau metrik keamanan Anda untuk melacak efektivitas tindakan Anda dan lakukan penyesuaian jika diperlukan. Contoh: Jika sebuah perusahaan menemukan bahwa MTTR-nya terlalu tinggi, perusahaan tersebut mungkin akan menerapkan proses penambalan yang lebih ramping, menambah sumber daya keamanan tambahan untuk mengatasi kerentanan, dan menerapkan otomatisasi keamanan untuk mempercepat proses respons insiden.
Pertimbangan Global dan Praktik Terbaik
Menerapkan metrik keamanan di seluruh organisasi global memerlukan pertimbangan berbagai faktor:
1. Kepatuhan Hukum dan Peraturan
Peraturan Privasi Data: Patuhi peraturan privasi data seperti GDPR di Eropa, CCPA di California, dan undang-undang serupa di wilayah lain. Ini dapat memengaruhi cara Anda mengumpulkan, menyimpan, dan memproses data keamanan. Hukum Regional: Waspadai hukum regional mengenai residensi data, lokalisasi data, dan persyaratan keamanan siber. Audit Kepatuhan: Bersiaplah untuk audit dan pemeriksaan kepatuhan dari badan pengatur. Program metrik keamanan yang terdokumentasi dengan baik dapat menyederhanakan upaya kepatuhan. Contoh: Sebuah organisasi dengan operasi di Uni Eropa dan AS harus mematuhi persyaratan GDPR dan CCPA, termasuk permintaan hak subjek data, pemberitahuan pelanggaran data, dan langkah-langkah keamanan data. Menerapkan program metrik keamanan yang kuat memungkinkan organisasi untuk menunjukkan kepatuhan terhadap peraturan yang kompleks ini dan bersiap untuk audit peraturan.
2. Perbedaan Budaya dan Bahasa
Komunikasi: Komunikasikan temuan dan rekomendasi keamanan dengan cara yang dapat dimengerti dan sesuai secara budaya untuk semua pemangku kepentingan. Gunakan bahasa yang jelas dan ringkas, dan hindari jargon. Pelatihan dan Kesadaran: Sesuaikan program pelatihan kesadaran keamanan dengan bahasa, kebiasaan, dan norma budaya lokal. Pertimbangkan untuk melokalkan materi pelatihan agar relevan bagi karyawan di berbagai wilayah. Kebijakan Keamanan: Pastikan bahwa kebijakan keamanan dapat diakses dan dipahami oleh karyawan di semua wilayah. Terjemahkan kebijakan ke dalam bahasa lokal dan berikan konteks budaya. Contoh: Sebuah perusahaan multinasional dapat menerjemahkan materi pelatihan kesadaran keamanannya ke dalam berbagai bahasa dan menyesuaikan konten untuk mencerminkan norma budaya. Mereka mungkin menggunakan contoh-contoh dunia nyata yang relevan dengan setiap wilayah untuk lebih melibatkan karyawan dan meningkatkan pemahaman mereka tentang ancaman keamanan.
3. Zona Waktu dan Geografi
Koordinasi Respons Insiden: Tetapkan saluran komunikasi dan prosedur eskalasi yang jelas untuk respons insiden di berbagai zona waktu. Hal ini dapat dibantu dengan menggunakan platform respons insiden yang tersedia secara global. Ketersediaan Sumber Daya: Pertimbangkan ketersediaan sumber daya keamanan, seperti personel respons insiden, di berbagai wilayah. Pastikan Anda memiliki cakupan yang memadai untuk merespons insiden kapan saja, siang atau malam, di mana pun di dunia. Pengumpulan Data: Saat mengumpulkan dan menganalisis data, pertimbangkan zona waktu tempat data Anda berasal untuk memastikan metrik yang akurat dan dapat dibandingkan. Pengaturan zona waktu harus konsisten di seluruh sistem Anda. Contoh: Sebuah perusahaan global yang tersebar di berbagai zona waktu dapat menerapkan model respons insiden "follow-the-sun", mentransfer manajemen insiden ke tim yang berbasis di zona waktu yang berbeda untuk memberikan dukungan sepanjang waktu. SIEM perlu mengagregasi log dalam zona waktu standar, seperti UTC, untuk memberikan laporan yang akurat untuk semua insiden keamanan, di mana pun asalnya.
4. Manajemen Risiko Pihak Ketiga
Penilaian Keamanan Vendor: Nilai postur keamanan vendor pihak ketiga Anda, terutama yang memiliki akses ke data sensitif. Ini termasuk mengevaluasi praktik dan kontrol keamanan mereka. Pastikan untuk memasukkan persyaratan hukum lokal apa pun ke dalam penilaian vendor ini. Perjanjian Kontraktual: Sertakan persyaratan keamanan dalam kontrak Anda dengan vendor pihak ketiga, termasuk persyaratan untuk berbagi metrik keamanan yang relevan. Pemantauan: Pantau kinerja keamanan vendor pihak ketiga Anda dan lacak setiap insiden keamanan yang melibatkan mereka. Manfaatkan metrik seperti jumlah kerentanan, MTTR, dan kepatuhan terhadap standar keamanan. Contoh: Sebuah lembaga keuangan mungkin mewajibkan penyedia layanan cloud-nya untuk membagikan data insiden keamanan dan metrik kerentanannya, memungkinkan lembaga keuangan tersebut untuk menilai postur keamanan vendornya dan potensi dampaknya pada profil risiko perusahaan secara keseluruhan. Data ini dapat diagregasikan dengan metrik keamanan perusahaan sendiri untuk menilai dan mengelola risiko perusahaan dengan lebih efektif.
Alat dan Teknologi untuk Menerapkan Metrik Keamanan
Beberapa alat dan teknologi dapat membantu dalam menerapkan program metrik keamanan yang kuat:
- Security Information and Event Management (SIEM): Sistem SIEM mengagregasi log keamanan dari berbagai sumber, menyediakan pemantauan terpusat, deteksi ancaman, dan kemampuan respons insiden.
- Pemindai Kerentanan: Alat seperti Nessus, OpenVAS, dan Rapid7 InsightVM mengidentifikasi kerentanan dalam sistem dan aplikasi.
- Endpoint Detection and Response (EDR): Solusi EDR memberikan visibilitas ke dalam aktivitas titik akhir, mendeteksi dan merespons ancaman, serta mengumpulkan data keamanan yang berharga.
- Security Orchestration, Automation, and Response (SOAR): Platform SOAR mengotomatiskan tugas-tugas keamanan, seperti respons insiden dan perburuan ancaman.
- Alat Visualisasi Data: Alat seperti Tableau, Power BI, dan Grafana membantu memvisualisasikan metrik keamanan, membuatnya lebih mudah untuk dipahami dan dikomunikasikan.
- Platform Manajemen Risiko: Platform seperti ServiceNow GRC dan LogicGate menyediakan kemampuan manajemen risiko terpusat, termasuk kemampuan untuk mendefinisikan, melacak, dan melaporkan metrik keamanan.
- Perangkat Lunak Manajemen Kepatuhan: Alat kepatuhan membantu dalam melacak dan melaporkan persyaratan kepatuhan dan memastikan bahwa Anda mempertahankan postur keamanan yang tepat.
Kesimpulan
Menerapkan dan memanfaatkan metrik keamanan adalah komponen vital dari program keamanan siber yang efektif. Dengan mengukur risiko, organisasi dapat memprioritaskan investasi keamanan, membuat keputusan berbasis informasi, dan secara efektif mengelola postur keamanan mereka. Perspektif global yang diuraikan dalam blog ini menyoroti perlunya strategi yang disesuaikan yang mempertimbangkan variasi hukum, budaya, dan geografis. Dengan mengadopsi pendekatan berbasis data, memanfaatkan alat yang tepat, dan terus menyempurnakan praktik mereka, organisasi di seluruh dunia dapat memperkuat pertahanan keamanan siber mereka dan menavigasi kompleksitas lanskap ancaman modern. Evaluasi dan adaptasi berkelanjutan sangat penting untuk kesuksesan di bidang yang terus berubah ini. Ini akan memungkinkan organisasi untuk mengembangkan program metrik keamanan mereka dan terus meningkatkan postur keamanan mereka.