- CISO harus mengintegrasikan keamanan dalam setiap inovasi organisasi.
- Budaya keamanan yang kuat melibatkan seluruh karyawan dan pemimpin.
- Kerja sama dengan vendor penting untuk mengelola risiko siber.
pibitek.biz -Insiden yang menimpa perusahaan keamanan siber CrowdStrike pada Juli lalu menjadi pelajaran berharga bagi semua organisasi yang ingin berinovasi untuk meningkatkan keamanan dan efisiensi operasional. Penggunaan teknologi terbaik di kelasnya biasanya merupakan pilihan aman bagi para pemimpin keamanan informasi (CISO) saat memilih vendor keamanan, namun sangat penting untuk memahami bagaimana teknologi tersebut akan diterapkan dan risiko apa yang mungkin muncul. Penerapan CrowdStrike sebagai salah satu alat keamanan titik akhir memungkinkan otomatisasi operasi keamanan dan pembentukan ingatan otot di antara para insinyur keamanan.
2 – AI Apple: Kekecewaan dan Keterlambatan 2 – AI Apple: Kekecewaan dan Keterlambatan
3 – Ransomware BianLian Serang Rumah Sakit Anak Boston 3 – Ransomware BianLian Serang Rumah Sakit Anak Boston
Hal ini menghasilkan respons yang lebih cepat dan efisien terhadap peringatan keamanan. Namun, insiden CrowdStrike menunjukkan betapa berbahayanya pembaruan yang tidak terkonfigurasi dengan benar pada operasi bisnis yang penting. Pembaruan tersebut bisa menyebabkan gangguan dan masalah yang tidak diinginkan, memaksa organisasi untuk memikirkan kembali pendekatan mereka terhadap inovasi dan risiko. Organisasi yang masih menggunakan sistem operasional lama tidak terpengaruh oleh insiden CrowdStrike.
Teknologi usang yang dulunya dianggap sebagai kelemahan, justru menjadi keuntungan dalam situasi ini. Peristiwa ini menunjukkan bahwa keseimbangan antara inovasi dan risiko mungkin tak terelakkan, tetapi keduanya tetap dapat dicapai. Pertanyaannya kemudian, bagaimana para CISO dapat menyeimbangkan keduanya secara strategis untuk memastikan operasi yang aman dan berwawasan ke depan? Sering kali, para CISO dihadapkan dengan persepsi bahwa mereka merupakan penghalang inovasi dalam rapat dewan. Untuk mengatasi persepsi ini, para CISO harus mengubah narasi dari "keamanan versus inovasi" menjadi "inovasi yang aman".
Keamanan dan inovasi tidaklah saling bertentangan, dan tidak seharusnya begitu. Ketika keamanan diintegrasikan sejak awal dalam proses pengembangan, hal itu akan memastikan bahwa inovasi yang dihasilkan tidak hanya inovatif, tetapi juga aman. Para CISO harus secara proaktif menjangkau para pemimpin lainnya di seluruh organisasi, mulai dari kepala teknologi (CTO) hingga kepala keuangan (CFO), untuk memastikan bahwa keamanan dipertimbangkan dalam setiap keputusan strategis sejak awal. Hal ini tentang membangun hubungan, di mana keamanan menjadi hal yang alami seperti rem pada mobil – penting untuk pengendalian, tetapi memungkinkan kecepatan dan kemajuan.
Salah satu peran terpenting bagi seorang CISO adalah menjadi pendorong inovasi, bukan penghalang. Sebenarnya, peran CISO tidak hanya melindungi sistem, tetapi juga berkomunikasi mengenai risiko pada tingkat bisnis dan memastikan bahwa keamanan memungkinkan kemajuan, bukan menghambatnya. Kunci untuk mencapai hal ini terletak pada pengembangan budaya keamanan yang melibatkan seluruh organisasi, mulai dari kepemimpinan hingga karyawan lapangan. Sebagai garda terdepan, karyawan sangat penting untuk membangun budaya keamanan yang diutamakan.
Interaksi mereka dengan vendor pihak ketiga dan konten yang berpotensi berbahaya setiap hari membuat mereka terpapar risiko yang dapat membahayakan seluruh organisasi. Salah satu cara yang ampuh untuk melibatkan karyawan dalam misi ini adalah dengan membuat keamanan menjadi sesuatu yang personal. Serangan phishing, pelanggaran data, dan ancaman terhadap informasi perbankan pribadi adalah contoh nyata yang beresonansi dengan karyawan. Ketika orang memahami bahwa tindakan mereka dapat secara langsung memengaruhi keamanan mereka sendiri dan perusahaan, mereka menjadi lebih termotivasi untuk menerapkan praktik keamanan.
Dengan budaya karyawan yang sadar keamanan, strategi pertahanan tertanam dalam upaya inovasi sejak awal. Keterlibatan dengan vendor pihak ketiga merupakan tantangan besar bagi para CISO. Satu pengguna yang terkompromi dari vendor mana pun dapat memicu insiden di seluruh perusahaan. Para peretas hanya membutuhkan satu serangan yang berhasil, sementara tim keamanan harus benar setiap saat. Bagi para CISO, inovasi yang aman tidak berhenti pada proses internal – inovasi tersebut harus meluas hingga ke vendor yang mendukung lanskap TI mereka.
Berkolaborasi dengan rekan-rekan teknologi untuk memahami dan memitigasi risiko adalah kunci untuk mendorong inovasi tanpa meningkatkan risiko siber. Sama pentingnya adalah membangun kemitraan proaktif yang kuat dengan vendor pihak ketiga untuk memverifikasi bahwa mereka siap merespons dengan skala besar ketika terjadi gangguan. Untuk mengoptimalkan proses ini, para CISO harus fokus memahami vendor mana yang penting bagi infrastruktur perusahaan, terutama yang terlibat dalam lingkungan yang memerlukan pembaruan yang sering.
Dengan memastikan bahwa vendor ini mengikuti protokol pengujian yang ketat sebelum merilis perubahan, perusahaan dapat mengelola trade-off antara inovasi dan stabilitas operasional dengan lebih baik. Para CISO harus memimpin dalam mengintegrasikan praktik keamanan-pertama ke dalam inti inovasi, menempatkan diri sebagai penasihat tepercaya yang meningkatkan tujuan keseluruhan perusahaan. Dengan menghadirkan solusi daripada sekadar menyoroti risiko, para CISO dapat mengubah dialog dari "keamanan tidak akan pernah menyetujui" menjadi "keamanan dapat membantu membuat ini lebih baik".
Pergeseran budaya ini mendorong kolaborasi dengan eksekutif dan vendor pihak ketiga, menanamkan keamanan ke dalam setiap fase pertumbuhan organisasi. Ketika karyawan dan pemimpin terlibat dengan para CISO sejak awal dalam proyek inovasi, masalah keamanan ditangani secara proaktif, membangun kepercayaan dan memastikan bahwa inovasi dan keamanan hidup berdampingan. Para CISO harus menjadi pemimpin dalam membangun budaya keamanan yang berpusat pada karyawan, dengan menekankan pentingnya keamanan pribadi dan melibatkan karyawan dalam praktik keamanan terbaik.
Organisasi yang menanamkan nilai-nilai keamanan ini dalam budaya mereka akan lebih siap untuk menghadapi ancaman yang terus berkembang dan dapat memanfaatkan kekuatan inovasi sambil melindungi aset berharga mereka. Perusahaan yang terlalu berfokus pada inovasi tanpa memperhatikan risiko keamanan dapat menghadapi konsekuensi yang merugikan. Penggunaan teknologi yang tidak teruji atau tidak terkonfigurasi dengan benar dapat mengakibatkan kebocoran data, gangguan operasional, dan reputasi yang rusak.
Hal ini dapat menyebabkan kerugian finansial yang besar dan bahkan kehancuran bisnis. Para CISO memiliki peran penting dalam memastikan bahwa inovasi berjalan seiring dengan keamanan. Dengan menanamkan budaya keamanan, membangun kemitraan yang kuat dengan vendor, dan mengintegrasikan keamanan ke dalam setiap tahap proses pengembangan, para CISO dapat membantu organisasi mereka untuk mencapai tujuan inovatif mereka sambil melindungi diri dari risiko siber.
