_lorenzo_rossi_Alamy.jpg?disable=upscale&width=1200&height=630&fit=crop&w=1024&resize=1024,0&ssl=1)
KOMENTAR
Insiden CrowdStrike bulan Juli berfungsi sebagai pengingat akan konsekuensi yang tidak diinginkan yang dihadapi organisasi ketika berinovasi untuk meningkatkan keamanan dan menyederhanakan operasi. Menggunakan teknologi terbaik di kelasnya biasanya merupakan pilihan yang aman bagi chief information security officer (CISO) ketika memilih vendor keamanan, namun sama pentingnya untuk menyadari bagaimana teknologi tersebut akan diterapkan dan besarnya risiko yang dapat ditimbulkannya. Saya telah menerapkan CrowdStrike sebagai salah satu alat keamanan titik akhir saya, dan standarisasi solusi ini memungkinkan operasi keamanan saya diotomatisasi, dan menciptakan memori otot di antara teknisi keamanan saya. Hal ini menghasilkan respons yang lebih cepat dan efisien terhadap peringatan keamanan.
Namun, insiden CrowdStrike menjadi pelajaran penting tentang potensi konsekuensi dari kesalahan konfigurasi pembaruan real-time pada operasi bisnis penting. Hal ini membuka mata saya untuk memikirkan risiko dan inovasi dengan cara yang sedikit berbeda. Ini bukan hanya tentang memilih vendor dengan program keamanan yang kuat, namun juga tentang mempertimbangkan luasnya penerapan produk vendor, serta cara produk diperbarui di seluruh lingkungan. Dengan memahami elemen-elemen yang berbeda ini, perusahaan dapat mengambil keputusan yang lebih tepat untuk mengelola inovasi terhadap risiko dengan cara yang terkendali.
Menariknya, ketergantungan beberapa perusahaan pada sistem operasional lama melindungi mereka dari dampak langsung insiden CrowdStrike. Meskipun teknologi mereka yang ketinggalan jaman pernah dipandang sebagai suatu kerugian, namun dalam kasus ini teknologi tersebut menjadi sebuah keuntungan yang mengejutkan. Skenario ini menunjukkan bahwa trade-off antara inovasi dan risiko tidak bisa dihindari. Namun, keduanya bisa dicapai. Jadi, bagaimana CISO dapat menyeimbangkan keduanya secara strategis untuk memastikan operasi yang aman dan berpikiran maju?
Jembatani Penghalang di Ruang Rapat
CISO sering kali menghadapi kesalahpahaman sebagai hambatan bagi inovasi di ruang rapat. Untuk menghilangkan hal ini, kita harus mengubah kerangka diskusi dari perspektif “keamanan versus inovasi” menjadi “inovasi yang aman”.
Keamanan dan inovasi tidaklah berdiri sendiri-sendiri, dan memang tidak seharusnya demikian. Ketika keamanan diintegrasikan di awal proses pengembangan, hal ini memastikan bahwa inovasi bersifat inovatif dan aman. CISO harus secara proaktif menjangkau para pemimpin lainnya di seluruh organisasi, mulai dari chief technology officer (CTO) hingga chief financial officer (CFO), untuk memastikan keamanan diperhitungkan dalam keputusan strategis sejak awal. Ini tentang membangun hubungan, di mana keamanan menjadi hal yang wajar seperti mengerem mobil — penting untuk pengendalian namun memungkinkan kecepatan dan kemajuan.
Menumbuhkan Budaya Keamanan
Salah satu peran terpenting CISO adalah dipandang sebagai pendukung inovasi, bukan penghambat. Pada kenyataannya, peran CISO lebih dari sekadar melindungi sistem; hal ini melibatkan penyampaian risiko pada tingkat bisnis dan memastikan bahwa keamanan memungkinkan kemajuan, bukan menghambatnya. Kunci untuk mencapai hal tersebut terletak pada pembinaan budaya keamanan yang melibatkan seluruh organisasi, mulai dari pimpinan hingga karyawan di lapangan.
Sebagai garis pertahanan pertama, karyawan sangat penting dalam membangun budaya yang mengutamakan keamanan. Interaksi sehari-hari dengan vendor pihak ketiga dan konten yang berpotensi berbahaya membuat mereka menghadapi risiko yang dapat membahayakan seluruh organisasi.
Cara ampuh untuk melibatkan karyawan dalam misi ini adalah dengan menjadikan keamanan bersifat pribadi. Serangan phishing, pelanggaran data, dan ancaman terhadap informasi perbankan pribadi adalah contoh nyata yang dialami karyawan. Ketika masyarakat memahami bahwa tindakan mereka dapat berdampak langsung pada keamanan mereka sendiri, dan juga perusahaan, mereka akan lebih termotivasi untuk menerapkan praktik yang aman. Dengan budaya karyawan yang sadar akan keamanan, strategi pertahanan dimasukkan ke dalam upaya inovasi sejak awal.
Anda Aman, tetapi Apakah Vendor Anda?
Banyaknya hubungan pihak ketiga yang kami kelola membuat saya tetap waspada. Satu pengguna yang disusupi dari vendor mana pun dapat memicu insiden di seluruh perusahaan. Bagaimanapun, peretas hanya membutuhkan satu serangan yang berhasil sementara tim keamanan harus selalu tepat sasaran.
Bagi CISO, hal ini berarti bahwa inovasi yang aman tidak berhenti pada proses internal — namun harus diperluas ke vendor yang mendukung lanskap TI mereka. Berkolaborasi dengan rekan-rekan teknologi memahami dan memitigasi risiko dengan lebih baik adalah kunci untuk mendorong inovasi tanpa meningkatkan risiko dunia maya. Yang tidak kalah pentingnya adalah membangun kemitraan yang kuat dan proaktif dengan vendor pihak ketiga untuk memastikan bahwa mereka siap merespons dalam skala besar ketika terjadi gangguan.
Untuk mengoptimalkan proses ini, CISO harus fokus pada pemahaman vendor mana yang penting bagi infrastruktur perusahaan, khususnya vendor yang terlibat dalam lingkungan yang memerlukan pembaruan berkala. Dengan memastikan vendor-vendor ini mengikuti protokol pengujian yang ketat sebelum menerapkan perubahan, perusahaan dapat mengelola trade-off antara inovasi dan stabilitas operasional dengan lebih baik.
Inovasi Keamanan-Pertama
CISO harus memimpin dalam mengintegrasikan praktik yang mengutamakan keamanan ke dalam inti inovasi, memposisikan diri mereka sebagai penasihat tepercaya yang meningkatkan tujuan perusahaan secara keseluruhan. Dengan memberikan solusi dan bukan sekadar menyoroti risiko, kita dapat mengubah dialog dari “keamanan tidak akan pernah menyetujui” menjadi “keamanan dapat membantu menjadikan hal ini lebih baik.”
Pergeseran budaya ini mendorong kolaborasi dengan para eksekutif dan vendor pihak ketiga, serta menanamkan keamanan dalam setiap fase pertumbuhan organisasi. Ketika karyawan dan pemimpin terlibat dengan CISO di awal proyek inovasi, masalah keamanan ditangani secara proaktif, membangun kepercayaan dan memastikan bahwa inovasi dan keamanan hidup berdampingan.