Seiring dengan semakin canggihnya taktik para aktor ancaman, dampak yang ditimbulkan oleh pelanggaran keamanan semakin berat. Menurut Fortinet 2024 Cybersecurity Skills Gap Report, hampir 90% perusahaan mengalami insiden siber tahun lalu, dengan 63% membutuhkan waktu lebih dari sebulan untuk pulih dari serangan. Pemimpin organisasi semakin sering dimintai pertanggungjawaban saat terjadi pelanggaran, di mana 51% responden melaporkan bahwa direktur atau eksekutif mereka menghadapi denda, hukuman penjara, kehilangan jabatan, atau kehilangan pekerjaan setelah serangan siber.
Meskipun biasanya tidak ada satu penyebab tunggal yang dapat diatribusikan pada pelanggaran, para pemimpin menyebutkan berbagai faktor yang mereka yakini berkontribusi pada keberhasilan serangan siber:
Staf IT dan keamanan yang kurang memiliki keterampilan dan pelatihan yang memadai (58%)
Kurangnya kesadaran keamanan di tingkat organisasi atau karyawan (56%)
Kurangnya produk keamanan siber (54%).
Dengan pelanggaran yang terus menjadi masalah umum di organisasi di seluruh dunia, jelas bahwa pemimpin harus mengadopsi pendekatan “semua turun tangan” ("all hands on deck") terhadap keamanan siber. Semua pihak, termasuk dewan direksi organisasi, harus terlibat aktif dalam mengelola risiko perusahaan.
Dewan Direksi Semakin Prihatin Terhadap Keamanan Siber
Meningkatnya frekuensi serangan—ditambah dengan potensi konsekuensi pribadi yang berat bagi anggota dewan—mendorong tingkat organisasi tertinggi untuk memperkuat pertahanan siber. Karena itu, dewan direksi menyadari bahwa keamanan siber adalah tanggung jawab seluruh perusahaan dan mulai mengambil peran lebih aktif dalam pengelolaan risiko organisasi dan inisiatif terkait.
Hampir tiga perempat eksekutif menyatakan bahwa dewan mereka lebih fokus pada keamanan siber pada tahun 2023 dibandingkan tahun sebelumnya. Mulai dari memahami risiko siber hingga mengalokasikan sumber daya yang tepat untuk melindungi perusahaan, ada banyak tindakan yang dapat dilakukan oleh anggota dewan untuk meningkatkan upaya keamanan siber organisasi.
Para eksekutif juga mengatakan bahwa anggota dewan mereka terlibat aktif dalam mendiskusikan dan membentuk upaya mitigasi risiko di seluruh organisasi. Hal ini termasuk keterlibatan dalam aktivitas seperti:
Menerapkan pelatihan atau sertifikasi wajib untuk profesional IT dan keamanan perusahaan (64%).
Memberikan pelatihan kesadaran keamanan untuk semua staf (61%).
Mengadakan solusi keamanan baru atau yang lebih kuat (59%).
Hampir 60% pemimpin juga menyatakan bahwa anggota dewan mereka telah mendiskusikan penambahan jumlah staf IT dan keamanan.
Pertimbangan untuk Melibatkan Dewan Direksi
Wolfgang Bitomsky, Chief Information Officer (CIO) di FCC Environment CEE, dalam episode Fortinet Brass Tacks Podcast, menyebutkan bahwa dewan direksi pada dasarnya peduli pada dua hal utama: mengelola risiko dan mengidentifikasi peluang untuk perusahaan. Oleh karena itu, pemimpin keamanan harus menyelaraskan prioritas mereka—seperti kebutuhan untuk investasi teknologi baru atau risiko keamanan yang perlu ditangani—dengan dua topik tersebut agar relevan bagi dewan.
Bangun Dasar Pelatihan Kesadaran Keamanan Siber
Bitomsky merekomendasikan agar semua pihak, termasuk anggota dewan, memiliki pengetahuan dasar tentang keamanan siber. Banyak organisasi membuat kesalahan dengan memperlakukan keamanan siber sebagai masalah khusus IT. Padahal, setiap individu dalam perusahaan bertanggung jawab menjaga aset perusahaan tetap aman. Karyawan dengan pengetahuan yang memadai dapat menjadi garis pertahanan pertama yang kuat melawan serangan.
Minimal, anggota dewan harus memahami persyaratan dan regulasi keamanan siber yang harus dipatuhi oleh organisasi dan berpartisipasi dalam pelatihan untuk memahami bagaimana keamanan siber memengaruhi semua aspek perusahaan.
Sesuaikan Strategi Komunikasi
Saat berinteraksi dengan anggota dewan, pertimbangkan perbedaan kepentingan antara tim internal dan dewan, lalu sesuaikan strategi komunikasi. Penting untuk menyajikan prioritas keamanan siber dan kebutuhan sumber daya dengan cara yang tidak terlalu teknis sehingga dewan dapat dengan mudah memahami risiko dan membuat keputusan yang baik berdasarkan informasi yang disampaikan.
Posisikan Keamanan Siber sebagai Prioritas Bisnis
Akhirnya, Bitomsky menyarankan para pemimpin keamanan dan IT untuk memosisikan keamanan siber sebagai prioritas bisnis, terutama saat tim ingin mendapatkan pendanaan untuk keamanan siber. Dia merekomendasikan mengubah pesan utama menjadi pernyataan manajemen risiko. Tunjukkan bahwa keamanan siber bukan hanya biaya, tetapi investasi yang dapat membantu organisasi menghindari kerugian finansial dan reputasi akibat serangan siber.
Dukungan dari Dewan Direksi Penting untuk Mengelola Risiko
Menurut Fortinet 2024 Security Awareness and Training Global Research Report, 97% pengambil keputusan mengatakan bahwa lebih banyak pelatihan dan kesadaran karyawan akan membantu mengurangi serangan siber. Studi tersebut juga menemukan bahwa ketika pemimpin—termasuk dewan direksi—mendukung pelatihan dan kesadaran keamanan, organisasi lebih mungkin melihat perbaikan yang signifikan setelah implementasi.
Terlepas dari industri, ukuran perusahaan, atau lokasi geografis, mendapatkan dukungan dari dewan direksi untuk inisiatif keamanan siber sangat penting untuk mengelola risiko secara efektif. Mulai dari memahami masalah keamanan siber secara pribadi hingga mendidik diri mereka sendiri agar dapat membuat keputusan yang lebih terinformasi, setiap anggota dewan memainkan peran penting dalam keamanan siber perusahaan.
