Saat ini semakin banyak organisasi yang mulai serius membangun sistem keamanan informasi. Salah satu langkah yang sering dilakukan adalah menghadirkan Security Operations Center (SOC). Kehadiran SOC dianggap sebagai bentuk kematangan keamanan, karena organisasi sudah memiliki fungsi khusus untuk memantau, mendeteksi, dan merespons ancaman siber.
Namun, ketika organisasi sudah memiliki SOC, muncul pertanyaan yang cukup menarik:
Apakah system ticketing masih dibutuhkan?
Bagi sebagian orang, jawabannya mungkin “tidak terlalu perlu.” Alasannya sederhana: SOC sudah memiliki dashboard, alert, case management, dan berbagai fitur pemantauan. Jadi seolah-olah semua aktivitas keamanan sudah bisa dikelola langsung dari SOC.
Tapi benarkah demikian?
Dalam praktiknya, memiliki SOC tidak otomatis menghilangkan kebutuhan terhadap system ticketing. Justru pada banyak organisasi, ticketing system tetap menjadi bagian penting agar proses penanganan insiden dan tindak lanjut operasional bisa berjalan lebih jelas, lebih rapi, dan lebih terukur.
Artikel ini akan membahas secara sederhana hubungan antara SOC dan system ticketing, perbedaannya, serta alasan mengapa ticketing system tetap dibutuhkan meskipun organisasi sudah memiliki SOC.
Memahami Apa Itu SOC
Apa itu SOC?
SOC (Security Operations Center) adalah fungsi, tim, atau pusat operasional yang bertugas memantau dan menangani ancaman keamanan siber di dalam organisasi.
SOC bisa berupa:
tim internal,
layanan dari pihak ketiga,
atau kombinasi keduanya.
Tujuan utama SOC adalah memastikan bahwa ancaman keamanan bisa:
dideteksi lebih cepat,
dianalisis dengan tepat,
dan ditangani sebelum menimbulkan dampak besar.
Apa yang dikerjakan SOC?
Secara umum, SOC melakukan aktivitas seperti:
memantau log dan aktivitas sistem,
menganalisis alert dari berbagai tools keamanan,
melakukan triage terhadap indikasi ancaman,
menginvestigasi insiden keamanan,
melakukan incident response,
membuat laporan keamanan,
dan pada beberapa organisasi, melakukan threat hunting.
Kalau disederhanakan, SOC berfungsi seperti pos keamanan digital.
Kalau ada gerakan mencurigakan, login aneh, malware, atau aktivitas yang tidak biasa, SOC adalah pihak yang pertama kali melihat dan memeriksanya.
Fokus utama SOC
Fokus utama SOC adalah:
deteksi, analisis, dan respons terhadap ancaman keamanan
Jadi, SOC sangat kuat dalam hal monitoring dan investigasi keamanan.
Memahami Apa Itu System Ticketing
Apa itu System Ticketing?
System ticketing adalah sistem yang digunakan untuk mencatat, mengelola, melacak, dan mengontrol suatu pekerjaan atau permintaan sampai selesai.
Dalam dunia TI dan keamanan, ticketing system digunakan untuk memastikan bahwa setiap masalah, permintaan, atau tindak lanjut memiliki:
pencatatan yang jelas,
penanggung jawab,
status progres,
waktu penyelesaian,
dan histori aktivitas.
Fungsi utama system ticketing
Secara umum, ticketing system digunakan untuk:
mencatat issue atau masalah,
membuat tugas dan assignment,
melacak progres penanganan,
mengatur prioritas,
memantau SLA,
mengelola eskalasi,
dan menyimpan dokumentasi penanganan.
Contoh penggunaan system ticketing
Ticketing system biasanya dipakai untuk berbagai kebutuhan, misalnya:
laporan gangguan server,
reset password user,
permintaan akses,
patching sistem,
perubahan konfigurasi,
penanganan vulnerability,
tindak lanjut insiden keamanan.
Kalau disederhanakan, ticketing system berfungsi seperti buku kerja digital yang memastikan semua pekerjaan tercatat dan ditindaklanjuti.
Fokus utama system ticketing
Fokus utama ticketing system adalah:
pengelolaan proses kerja, koordinasi, dan pelacakan tindak lanjut
Jadi, ticketing system tidak hanya soal keamanan, tetapi juga soal operasional dan tata kelola pekerjaan.
Mengapa Banyak Organisasi Mengira SOC Sudah Cukup?
Pertanyaan ini cukup masuk akal. Banyak organisasi merasa bahwa kalau mereka sudah punya SOC, maka ticketing system tidak lagi terlalu penting.
Ada beberapa alasan mengapa anggapan ini muncul.
1. SOC sudah punya dashboard dan alert
SOC biasanya menggunakan tools seperti:
SIEM,
EDR,
SOAR,
log management,
security monitoring dashboard.
Dari situ, semua alert terlihat di satu tempat. Ini membuat banyak orang merasa bahwa semua aktivitas keamanan sudah cukup dikelola dari sana.
2. Beberapa tools SOC punya fitur case management
Sebagian platform keamanan modern memang sudah memiliki fitur seperti:
case creation,
investigation workflow,
note,
tagging,
assignment.
Karena itu, organisasi kadang berpikir bahwa fitur ini sudah cukup menggantikan ticketing system.
3. Ticketing system sering dianggap hanya untuk helpdesk
Masih banyak yang melihat ticketing system sebagai alat untuk:
reset akun,
keluhan user,
gangguan printer,
permintaan IT support.
Padahal dalam organisasi yang lebih matang, ticketing system justru punya fungsi penting dalam pengelolaan insiden, change, remediation, dan governance.
4. Ingin menyederhanakan tool
Sebagian organisasi ingin mengurangi jumlah tools agar operasional terasa lebih sederhana. Akibatnya, mereka mencoba “memaksa” SOC menjadi pusat untuk semua aktivitas.
Masalahnya, alat yang kuat untuk deteksi belum tentu kuat untuk koordinasi operasional lintas tim.
Perbedaan SOC dan System Ticketing
Meskipun bisa saling terhubung, SOC dan system ticketing sebenarnya punya fungsi yang berbeda.
1. Dari sisi tujuan
SOC bertujuan untuk mendeteksi dan merespons ancaman keamanan
System ticketing bertujuan untuk mengelola tindak lanjut pekerjaan dan memastikan prosesnya berjalan
2. Dari sisi fokus
SOC fokus pada alert, insiden, ancaman, dan investigasi
Ticketing fokus pada task, assignment, status, SLA, dan penyelesaian
3. Dari sisi pengguna
SOC biasanya digunakan oleh:
SOC analyst,
incident responder,
security engineer,
security manager.
Ticketing system bisa digunakan lebih luas oleh:
tim IT support,
sysadmin,
network engineer,
DevOps,
application team,
compliance,
manajemen.
4. Dari sisi ruang lingkup
SOC lebih kuat di area security monitoring
Ticketing system lebih kuat di area operational tracking dan coordination
5. Dari sisi pertanyaan utama
SOC bertanya: “Apakah ada ancaman atau insiden?”
Ticketing system bertanya: “Siapa yang menangani? Kapan selesai? Apa statusnya?”
Kalimat sederhana yang penting
SOC bisa menemukan masalah. Ticketing system membantu memastikan masalah itu benar-benar diselesaikan.
Apakah SOC Bisa Menggantikan Ticketing System?
Jawaban pendeknya adalah:
Dalam beberapa kondisi kecil, mungkin bisa membantu. Tetapi dalam banyak organisasi, belum cukup untuk menggantikan sepenuhnya.
Mari kita lihat secara realistis.
Kapan SOC tool terlihat cukup?
Pada organisasi kecil atau tim yang sangat ramping, tools SOC yang punya fitur case management mungkin sudah cukup untuk kebutuhan dasar seperti:
mencatat alert,
membuat case investigasi,
memberi catatan analyst,
menandai status “open”, “investigating”, atau “closed”.
Untuk kebutuhan internal tim keamanan, ini memang cukup membantu.
Tetapi masalah muncul saat penanganan melibatkan tim lain
Di dunia nyata, banyak insiden keamanan tidak selesai hanya di tangan tim SOC.
Misalnya:
endpoint harus diisolasi oleh tim desktop,
firewall rule harus diubah oleh tim network,
patch harus diterapkan oleh tim server,
akun harus dinonaktifkan oleh tim IAM,
aplikasi harus diperbaiki oleh tim developer.
Di sinilah SOC mulai mencapai batasnya.
Karena begitu pekerjaan berpindah ke tim lain, organisasi membutuhkan sistem yang lebih kuat untuk:
assignment,
tracking,
SLA,
approval,
eskalasi,
dokumentasi.
Dan itu adalah area yang biasanya lebih kuat ditangani oleh system ticketing.
Mengapa System Ticketing Masih Sangat Dibutuhkan Meski Sudah Ada SOC?
Ini bagian paling penting dari pembahasan kita.
Jawabannya sederhana:
Karena deteksi ancaman tidak sama dengan penyelesaian masalah.
SOC bisa menemukan ancaman, tetapi ticketing system membantu memastikan ancaman itu ditindaklanjuti dengan benar.
Mari kita bahas satu per satu.
1. Untuk Mencatat dan Melacak Tindak Lanjut
Ketika SOC mendeteksi insiden, sering kali pekerjaan selanjutnya bukan dilakukan oleh SOC sendiri, tetapi oleh tim lain.
Contoh:
SOC menemukan server rentan → tim sysadmin harus patching
SOC menemukan akun terkompromi → tim IAM harus disable/reset
SOC menemukan komunikasi malware → tim network harus blokir koneksi
Kalau semua itu hanya disampaikan lewat:
chat,
email,
telepon,
atau pesan informal,
maka risiko terjadinya hal-hal berikut menjadi besar:
pekerjaan lupa ditindaklanjuti,
tidak jelas siapa owner-nya,
progres tidak bisa dipantau,
sulit dibuktikan kapan tindakan dilakukan.
Dengan ticketing system, semua tindak lanjut bisa dicatat dan dipantau secara jelas.
2. Untuk Membangun Accountability
Dalam keamanan, salah satu hal yang sangat penting adalah siapa yang bertanggung jawab.
Tanpa ticketing, sering muncul situasi seperti:
“Saya kira tim lain yang menangani”
“Kami belum tahu itu urgent”
“Belum ada penugasan resmi”
“Kami belum terima detailnya”
Ticketing system membantu menghilangkan kebingungan itu karena semua hal menjadi lebih jelas:
siapa assigned owner,
siapa approver,
kapan tiket dibuat,
kapan harus selesai,
siapa yang belum merespons.
Jadi ticketing system membantu membangun akuntabilitas.
3. Untuk SLA dan Prioritas
Tidak semua insiden punya tingkat urgensi yang sama.
Ada yang:
harus ditangani dalam hitungan menit,
ada yang cukup dalam beberapa jam,
ada yang bisa dijadwalkan lebih dulu.
Dengan ticketing system, organisasi bisa mengatur:
severity,
due date,
SLA,
escalation rule,
priority queue.
Tanpa itu, banyak insiden bisa “mengambang” tanpa kejelasan.
Contoh sederhana
Critical incident → harus ada respons dalam 15 menit
High severity vulnerability → harus diperbaiki dalam 24 jam
Medium issue → bisa ditindaklanjuti dalam 3 hari
SOC bisa mendeteksi masalahnya, tetapi ticketing membantu mengelola target penyelesaiannya.
4. Untuk Koordinasi Lintas Tim
Ini salah satu alasan terbesar kenapa ticketing tetap sangat penting.
Dalam banyak organisasi, keamanan tidak berdiri sendiri. Penanganan insiden sering membutuhkan kerja sama dengan banyak pihak, seperti:
tim server,
tim network,
tim endpoint,
tim cloud,
tim aplikasi,
tim DevOps,
tim legal,
tim HR,
bahkan manajemen.
Kalau koordinasi ini hanya mengandalkan chat atau email, maka:
informasi bisa tercecer,
instruksi bisa tidak konsisten,
progres sulit dipantau,
dan bukti tindak lanjut menjadi lemah.
Ticketing system membantu semua pihak melihat pekerjaan dalam satu alur yang lebih tertata.
5. Untuk Dokumentasi dan Audit Trail
Dalam keamanan, dokumentasi bukan hal sepele.
Setelah insiden selesai, organisasi sering perlu menjawab pertanyaan seperti:
kapan insiden terdeteksi?
siapa yang pertama menangani?
apa tindakan yang dilakukan?
kapan perbaikan dilakukan?
siapa yang menyetujui perubahan?
apakah SLA terpenuhi?
Kalau tidak ada ticketing yang baik, jawaban untuk pertanyaan-pertanyaan ini sering sulit ditemukan.
Padahal dokumentasi ini penting untuk:
audit internal,
compliance,
post-incident review,
root cause analysis,
lesson learned,
perbaikan proses ke depan.
Ticketing system memberikan jejak kerja yang rapi dan bisa dipertanggungjawabkan.
6. Untuk Mengelola Aktivitas Non-Insiden
Tidak semua aktivitas keamanan adalah insiden.
Ada banyak pekerjaan keamanan lain yang tetap perlu dikelola secara formal, misalnya:
permintaan hardening server,
patching terjadwal,
remediation vulnerability,
access review,
permintaan perubahan rule firewall,
exception approval,
tindak lanjut hasil audit keamanan.
Kalau organisasi hanya mengandalkan SOC, maka aktivitas seperti ini sering tidak punya tempat pengelolaan yang rapi.
Di sinilah ticketing system berperan penting sebagai alat untuk mengelola keamanan dari sisi operasional, bukan hanya dari sisi deteksi.
Contoh Kasus: SOC Tanpa Ticketing vs SOC Dengan Ticketing
Agar lebih mudah dipahami, mari kita lihat dua skenario sederhana.
Skenario 1: SOC Tanpa Ticketing
SOC mendeteksi login mencurigakan dari akun admin pada jam yang tidak biasa.
SOC analyst lalu:
melakukan investigasi awal,
mengirim pesan ke tim server,
meminta tim IAM untuk reset akun,
meminta tim network untuk cek trafik.
Masalahnya:
instruksi tersebar di chat,
tidak semua tim merespons cepat,
tidak ada pencatatan formal,
tidak jelas siapa yang paling bertanggung jawab,
progres sulit dipantau,
saat audit dilakukan, data tindak lanjut tidak lengkap.
Hasilnya
Insiden mungkin tetap bisa ditangani, tetapi prosesnya:
kurang rapi,
sulit diaudit,
sulit diukur,
dan rawan miss communication.
Skenario 2: SOC Terintegrasi dengan Ticketing
SOC mendeteksi login mencurigakan dari akun admin.
Lalu:
analyst memvalidasi alert,
ticket insiden dibuat,
severity ditentukan,
tiket di-assign ke tim IAM dan tim server,
SLA otomatis aktif,
progres bisa dipantau,
semua tindakan dicatat dalam tiket,
setelah selesai, tiket ditutup dan digunakan untuk review.
Hasilnya
Penanganan menjadi:
lebih jelas,
lebih terstruktur,
lebih akuntabel,
lebih mudah diaudit,
dan lebih mudah dievaluasi setelah insiden selesai.
Dari dua contoh ini, terlihat jelas bahwa ticketing system bukan sekadar tambahan, tetapi alat yang membantu insiden benar-benar sampai ke tahap penyelesaian.
Kapan Fitur Case Management di SOC Sudah Cukup, dan Kapan Harus Pakai Ticketing System Terpisah?
Jawabannya tergantung pada ukuran dan kompleksitas organisasi.
Case Management SOC Mungkin Cukup Jika:
organisasi masih kecil,
tim keamanan dan IT masih sedikit,
jumlah insiden tidak banyak,
semua remediation dilakukan oleh tim yang sama,
belum ada kebutuhan SLA formal yang kompleks.
Dalam kondisi seperti ini, case management bawaan dari tool SOC mungkin masih cukup membantu.
Ticketing System Terpisah Sangat Disarankan Jika:
organisasi punya banyak tim teknis,
penanganan insiden melibatkan lintas unit,
ada SLA formal,
ada kebutuhan approval dan escalation,
organisasi harus patuh pada audit atau compliance,
ada kebutuhan dokumentasi yang kuat,
ada banyak aktivitas non-insiden yang juga perlu dilacak.
Untuk organisasi yang lebih matang, ticketing system biasanya bukan lagi pilihan tambahan, tetapi bagian penting dari tata kelola keamanan dan operasional.
Integrasi Ideal antara SOC dan System Ticketing
Pendekatan terbaik sebenarnya bukan memilih salah satu, tetapi mengintegrasikan keduanya.
SOC dan ticketing system sebaiknya bekerja bersama.
Contoh integrasi yang ideal
Misalnya:
alert prioritas tinggi dari SOC otomatis membuat ticket,
ticket berisi informasi penting seperti:
severity,
aset terdampak,
jenis ancaman,
rekomendasi awal,
ticket langsung di-assign ke tim yang relevan,
status penanganan bisa dipantau dari awal sampai selesai,
semua aktivitas tercatat dalam satu alur kerja.
Manfaat integrasi
Dengan integrasi yang baik, organisasi akan mendapatkan:
respons lebih cepat,
koordinasi lebih jelas,
visibilitas lebih baik,
dokumentasi lebih rapi,
audit trail lebih kuat,
risiko human error lebih kecil.
Jadi yang ideal bukan “SOC atau ticketing”, tetapi:
SOC + Ticketing + Proses yang matang
Tantangan dalam Menerapkan SOC dan Ticketing Bersamaan
Meskipun sangat bermanfaat, penerapan keduanya juga punya tantangan.
1. Duplikasi kerja
Kalau integrasi buruk, analyst bisa harus input data dua kali:
sekali di SOC,
sekali di ticketing.
2. Ticket overload
Kalau semua alert dijadikan tiket tanpa filter yang baik, tim bisa kewalahan.
3. Severity tidak konsisten
Kalau klasifikasi insiden di SOC berbeda dengan prioritas di ticketing, maka koordinasi bisa membingungkan.
4. Proses terasa birokratis
Kalau workflow terlalu rumit, tim bisa merasa penanganan jadi lambat.
5. Tidak ada SOP yang jelas
Tanpa aturan yang jelas, tim akan bingung:
kapan alert cukup ditutup di SOC,
kapan harus dibuat ticket,
siapa yang harus menerima tiket,
kapan incident dianggap selesai.
Karena itu, keberhasilan bukan hanya soal alat, tetapi juga soal proses dan tata kelola.
Rekomendasi untuk Organisasi
Agar penggunaan SOC dan ticketing benar-benar efektif, berikut beberapa rekomendasi sederhana yang bisa diterapkan.
1. Jangan melihat SOC dan ticketing sebagai pengganti satu sama lain
Keduanya punya fungsi yang berbeda.
2. Gunakan SOC untuk deteksi dan investigasi
Biarkan SOC fokus pada hal yang memang menjadi kekuatannya:
monitoring,
triage,
investigasi,
respons keamanan.
3. Gunakan ticketing untuk tracking dan koordinasi
Gunakan ticketing untuk memastikan:
tindak lanjut berjalan,
ownership jelas,
SLA terpantau,
dokumentasi lengkap.
4. Buat workflow yang jelas
Tentukan aturan seperti:
alert seperti apa yang harus dibuat ticket,
siapa owner setiap severity,
kapan harus eskalasi,
kapan ticket boleh ditutup.
5. Integrasikan jika memungkinkan
Kalau memungkinkan, hubungkan SOC dengan ticketing system agar alur kerja lebih efisien.
6. Fokus pada proses, bukan hanya tools
Tool yang bagus tetap tidak akan efektif kalau:
SOP tidak jelas,
owner tidak ditentukan,
tim tidak disiplin dalam update,
manajemen tidak mendukung.
Kesimpulan
Jadi, apakah masih dibutuhkan system ticketing saat organisasi sudah punya SOC?
Jawabannya adalah:
Ya, masih sangat dibutuhkan.
Memiliki SOC tidak otomatis menghilangkan kebutuhan terhadap ticketing system. Sebab, SOC dan ticketing memiliki peran yang berbeda.
SOC berperan untuk mendeteksi, menganalisis, dan merespons ancaman keamanan.
System ticketing berperan untuk mengelola tindak lanjut, koordinasi, dokumentasi, dan akuntabilitas pekerjaan.
SOC bisa menemukan masalah. Tetapi ticketing system membantu memastikan bahwa masalah itu:
benar-benar ditangani,
dikerjakan oleh orang yang tepat,
selesai sesuai target,
dan terdokumentasi dengan baik.
Pada akhirnya, ancaman keamanan tidak selesai hanya karena sudah terdeteksi. Ancaman baru benar-benar tertangani ketika ada tindak lanjut yang jelas, terukur, dan dapat dipertanggungjawabkan.
Karena itu, organisasi yang matang biasanya tidak memilih antara SOC atau ticketing, tetapi justru mengintegrasikan keduanya agar keamanan dan operasional bisa berjalan lebih efektif.
Penutup
Di dunia keamanan siber, teknologi memang penting. Tetapi teknologi saja tidak cukup. Organisasi juga membutuhkan proses yang jelas, koordinasi yang baik, dan dokumentasi yang rapi.
SOC membantu organisasi melihat ancaman. Ticketing system membantu organisasi menyelesaikan ancaman tersebut dengan tertib.
Dan dalam praktik yang matang, keduanya bukan saingan — melainkan pasangan kerja yang saling melengkapi.
Seorang Akademisi, Peneliti dan Praktisi TI, mengajar di beberapa perguruan tinggi, Authorized Training Center dan Lembaga Pengembangan SDM TI. Aktif berbagi di komunitas melalui event webinar & sharing session. aktifitas sehari-hari di isi dengan mengajar, menulis di blog, jurnal, media massa, buku dan juga membuat video tutorial. bidang ilmu yang didalami adalah cybersecurity, system administrator, programming, networking, linux, cloud computing, blockchain, data science, artificial intelligence. visit me at sulkiflysaid.com
