Chief Information Security Officer (CISO) bertanggung jawab memimpin strategi keamanan dunia maya bagi organisasi serta memberikan perlindungan data dan sistem sensitif lainnya. Di samping itu, CISO juga wajib menerapkan prosedur untuk meminimalkan risiko dunia maya serta melindungi organisasi dari berbagai ancaman. Dengan kata lain, peran CISO dalam manajemen risiko sangat krusial untuk mengidentifikasi, menilai, dan membuat mitigasi risiko keamanan siber yang dapat mempengaruhi organisasi.
Pada tahun 2022, CISO diminta untuk mengelola lebih banyak masalah tata kelola, risiko, dan kepatuhan (Governance, Risk, and Compliance atau GRC) bagi seluruh organisasi dengan sumber daya lebih sedikit dibandingkan periode sebelumnya. Masalah ransomware, serangan supply chain (rantai pasok), tenaga kerja hibrida, serta sejumlah kendala lainnya hanya merupakan sebagian kecil dari tantangan dengan risiko tertinggi tahun 2022.
Di sisi lain, ketergantungan bisnis modern pada teknologi memaksa Teknologi Informasi (TI) untuk merespon setiap tren dan permintaan bisnis secara tangkas. CISO kerap diminta mempertahankan anggaran secara ketat dan mengantisipasi risiko tanpa pembengkakan biaya.
Kini, CISO dapat mengupayakan program risiko dan kepatuhan serta meningkatkan tata kelola bisnis pada tahun 2023 dengan memperhatikan 7 prioritas berikut ini:
1. Mengadopsi Perspektif yang Memprioritaskan Bisnis
CISO wajib memahami seluk beluk bisnis dan risiko yang menyertai wilayah bisnis tersebut. Peran CISO bukan sekadar tentang persyaratan teknologi dan proses internal organisasi, melainkan juga kolaborasi dengan tim eksekutif. Oleh sebab itu, CISO patut membuat resolusi tahun 2023 untuk membangun relasi yang lebih baik dengan para pemimpin bisnis dan memperoleh pemahaman mendalam tentang risiko organisasi.
Selanjutnya, CISO juga mesti membuat dan menerapkan strategi keamanan informasi yang sejalan dengan tujuan strategis organisasi secara keseluruhan. Terakhir, CISO harus mengadvokasi kesadaran keamanan informasi dan membantu Sumber Daya Manusia (SDM) memahami tujuan melindungi data sensitif secara maksimal.
2. Mengelompokkan Risiko Berdasarkan Kekritisan Bisnis
Risiko bisnis memang tidak bisa sepenuhnya dihindari. Kendati demikian, CISO dapat mengantisipasinya dengan memprioritaskan risiko yang perlu dikelola berdasarkan kekritisan bisnis. Pertimbangan tersebut mencakup risiko internal (seperti sistem yang ketinggalan zaman atau kesalahan SDM) maupun risiko eksternal (serangan dunia maya atau pelanggaran data).
Sebagai langkah pertama, CISO patut menilai risiko dan memahami tujuan organisasi. Kemudian, penilaian harus dilakukan secara berkala untuk memastikan program tetap relevan dan up to date terhadap perkembangan organisasi. Analisis pemangku kepentingan (stakeholder) dapat membantu CISO mengidentifikasi individu atau kelompok mana yang akan terpengaruh oleh keputusan yang dibuat selama proses penilaian risiko berlangsung.
Nantinya, tim keamanan dapat menilai risiko organisasi dengan berbagai metode, seperti wawancara, survei, diskusi kelompok, atau pengumpulan data. Risiko yang sudah teridentifikasi harus diprioritaskan berdasarkan dampaknya bagi bisnis. Analisis mesti mencakup kemungkinan setiap risiko yang terjadi dan tingkat kendali yang bisa dilakukan organisasi untuk menguranginya.
3. Mengembangkan Rencana Berkesinambungan untuk Mengelola Risiko
Setelah menentukan skala prioritas risiko, CISO mesti mengembangkan rencana yang tepat untuk mengelola risiko tersebut. Rencana yang dimaksud meliputi strategi jangka pendek maupun jangka panjang untuk menghadapi setiap jenis risiko.
Sasaran utama rencana tersebut adalah meminimalkan dampak dari setiap risiko terhadap bisnis sambil memungkinkan organisasi beroperasi secara efektif. Perubahan GRC dan strategi manajemen organisasi juga menjadi bagian penting dari rencana yang harus ditinjau dan diperbarui secara rutin setiap 3 bulan.
4. Memantau Persyaratan Kepatuhan Global Terus-Menerus
Mencapai kepatuhan berkelanjutan (continuous compliance) merupakan tugas yang berat bagi setiap organisasi. Pencapaian tersebut membutuhkan kemampuan untuk terus memantau keamanan organisasi demi memastikan kepatuhan terhadap persyaratan global dan praktik terbaik di bidang industri yang bersangkutan.
Sistem manajemen kepatuhan yang baik dapat mempermudah pelacakan dan pengelolaan data kepatuhan global. Selain itu, investasi pada sumber daya berkualitas seperti laporan industri dan buletin membuat CISO tetap up to date terhadap informasi bila terjadi perubahan. CISO juga bisa meminta bantuan konsultan kepatuhan atau pengacara berpengalaman untuk mengarahkan navigasi peraturan yang berubah.
5. Memberikan Perhatian terhadap ESG
Pemangku kepentingan (stakeholders) organisasi wajib mengamati Environment, Social, and Governance (ESG), demikian pula halnya dengan CISO. ESG mengacu pada pemeriksaan praktik lingkungan, sosial, dan tata kelola organisasi serta dampaknya terhadap kemajuan organisasi tersebut sebagai tolok ukur. Misalnya, pihak investor mengandalkan skor atau peringkat ESG untuk menilai eksposur risiko organisasi serta kemungkinan kinerja keuangannya di masa depan.
Di samping itu, komunitas dan pelanggan mungkin ingin mengetahui praktik lingkungan dan sosial organisasi untuk menginformasikan advokasi dan keputusan pembelian. Sebagian besar tanggung jawab ini akan dipikul pihak CISO.
Ada berbagai cara untuk memasukkan program ESG ke dalam sistem GRC, salah satunya yaitu membuat kebijakan atau kerangka kerja yang menguraikan tindakan yang akan dilakukan organisasi ketika mengatasi masalah tersebut. Cara lainnya yaitu mengintegrasikan data ESG ke dalam proses manajemen risiko. CISO harus menetapkan indikator kinerja utama yang berkaitan dengan keberlanjutan dan melaporkannya secara teratur.
6. Menemukan Sumber Daya yang Tepat
Ketika sumber daya berkualitas dan sistem keamanan di organisasi menyusut, jumlah serangan dan masalah GRC justru kian bertambah. Hal tersebut membuat CISO patut menemukan tim profesional TI yang dilatih khusus untuk menangani ancaman keamanan siber yang semakin masif. Implementasi GRC yang rumit ini tentu sebanding dengan proses operasional organisasi yang patuh dan aman.
7. Menjadi Pengawal GRC yang Gesit
Sistem GRC yang senantiasa berubah tentu membutuhkan peran CISO yang gesit. CISO harus responsif terhadap tuntutan bisnis yang bersifat kompetitif sambil fokus terhadap ancaman dan syarat kepatuhan yang terus berkembang.
Organisasi profesional dapat membantu CISO menghadapi perubahan peran sekaligus mengembangkan soft skill yang dibutuhkan. Hal tersebut dapat dicapai dengan menyediakan forum diskusi, saling berbagi pengalaman, dan upaya mengembangkan standar industri secara luas. Selain itu, banyak pula organisasi profesional yang menawarkan pendidikan berkelanjutan serta program sertifikasi untuk membantu CISO mengikuti perkembangan teknologi dan strategi keamanan terbaru.
Mengatasi tantangan yang semakin besar dari tahun ke tahun tentu terasa berat bagi CISO. Tahun 2023 datang menghampiri dengan berbagai risiko baru. Perkembangan bisnis harus tetap menjadi prioritas kala menghadapi tantangan GRC yang tidak terduga. CISO yang fokus pada tujuh prioritas saat mematangkan sistem GRC di tahun ini akan mewujudkan keberhasilan organisasi di masa depan.
