_Stu_Gray_Alamy.jpg?disable=upscale&width=1200&height=630&fit=crop&w=1024&resize=1024,0&ssl=1)
KOMENTAR
Musim panas ini, a serangan siber mengganggu operasi normal ribuan dealer mobil di seluruh Amerika Serikat, memengaruhi segalanya mulai dari pencatatan hingga penjadwalan, menyebabkan gangguan yang tiada habisnya dan membuat banyak tenaga penjualan dan pelanggan kehabisan akal.
Contoh terbaru dan dramatis dari kesuksesan hacker menggambarkan bahwa keamanan TI harus menjadi prioritas pertama di tingkat tertinggi sebuah organisasi. Wabah modern ini tidak menunjukkan tanda-tanda mereda. Dengan setiap serangan yang berhasil, peretas menjadi semakin berani.
Ini adalah serangan habis-habisan, yang memerlukan buletin korporat yang setara dengan semua poin. Singkatnya, keamanan siber bukan hanya persoalan TI; ini adalah risiko bisnis penting yang memerlukan keterlibatan aktif dari seluruh C-suite, khususnya CEO. Ini adalah salah satu bidang perusahaan yang dapat memperoleh manfaat dari manajemen mikro dalam upaya untuk menunjukkan pentingnya upaya tersebut.
Rekan-rekan saya dan saya secara rutin menasihati klien kami bahwa mereka harus mengajukan tiga pertanyaan kepada tim mereka: Apa yang kami lakukan? Apakah itu cukup? Bagaimana kita tahu?
Keamanan siber yang efektif memerlukan keseimbangan yang tepat antara pengeluaran dan nilai teknologi, penilaian berkelanjutan, dan penerapan teknologi canggih seperti otomatisasi dan kecerdasan buatan. Hanya sedikit orang yang menyesali investasi bijaksana dalam pertahanan keamanan siber.
Meningkatnya frekuensi dan kecanggihan serangan siber menggarisbawahi keseriusan keterlibatan tingkat eksekutif dalam keamanan siber. Insiden baru-baru ini, seperti Denda SEC sebesar $10 juta pada perusahaan induk Bursa Efek New York dan yang terkenal kejam Aksi SolarWindsmenggambarkan dampak buruk terhadap operasi bisnis dan kepatuhan terhadap peraturan. Peristiwa ini menyoroti perlunya para CEO untuk menyadari peran penting mereka dalam keamanan siber.
Serangan ransomware Ascension Healthcaredi antara contoh-contoh utama lainnya, dapat menjadi pelajaran berharga mengenai urgensi masalah ini, khususnya di bidang layanan kesehatan. Para dokter dan apotek berjuang dengan masalah pesanan dan resep, yang mengakibatkan hilangnya pendapatan karena pasien mencari layanan di tempat lain, dan membuat sistem rumah sakit yang sangat besar menjadi lumpuh, menyebabkan frustrasi yang luar biasa di antara staf dan pasien. Situasi ini menggarisbawahi perlunya para ahli teknologi untuk memahami operasi bisnis dan menerapkan langkah-langkah keamanan yang mendukung bisnis.
Para CEO harus memahami bahwa keamanan siber adalah inti dari tugas manajemen mereka dan bukan sekadar “hal-hal teknologi” yang harus didelegasikan. Mereka perlu menerima pelaporan yang berfokus pada hasil bisnis dengan tingkat ketelitian yang sama seperti pelaporan keuangan dan keselamatan. Pelaporan ini harus menjawab tiga pertanyaan di atas dengan menggunakan metrik yang dihasilkan sistem dan mengintegrasikan hasil ke dalam keputusan bisnis agar tetap terdepan dalam menghadapi kemampuan destruktif yang semakin meningkat dari musuh yang berkonspirasi untuk merugikan mereka.
CEO menentukan arah organisasi dan pada akhirnya bertanggung jawab atas keamanan siber. Dukungan mereka terhadap langkah-langkah keamanan dapat menunjukkan pentingnya langkah-langkah tersebut, memastikan keselarasan dengan tujuan bisnis di seluruh tim kepemimpinan senior, dan mengomunikasikan kemampuan kepada dewan direksi mereka. Langkah-langkah berikut ini penting bagi CEO untuk memprioritaskan keamanan siber:
-
Terlibat dalam perencanaan dan respons keamanan siber: CEO dan pemimpin eksekutif harus terlibat aktif dalam perencanaan dan respons keamanan siber. Dukungan dan pemahaman mereka terhadap pentingnya keamanan siber dapat mendorong komitmen organisasi dan menentukan arah yang tepat. Memutuskan bagaimana menangani peristiwa tebusan, pemerasan, dan penipuan hipotetis akan mempercepat respons ketika suatu peristiwa terjadi.
-
Melakukan analisis bisnis untuk pembelanjaan siber: Memanfaatkan analisis bisnis untuk menentukan investasi keamanan siber yang tepat. Fokus pada teknologi preventif yang memberikan pengurangan risiko lebih besar dan memastikan bahwa pengeluaran sejalan dengan prioritas bisnis.
-
Menerapkan autentikasi multifaktor: Pastikan autentikasi multifaktor diterapkan dan efektif. Hindari solusi inferior yang dapat diklik tanpa berpikir panjang oleh pengguna, dan prioritaskan langkah autentikasi yang kuat untuk pengaturan ulang kata sandi guna meningkatkan keamanan.
-
Tinjau dan nilai langkah-langkah keamanan siber secara berkala: Sering-seringlah meninjau hasil penilaian dan mengatasi kesenjangan penting. Hal ini termasuk mengadopsi otomatisasi untuk manajemen paparan ancaman yang berkelanjutan dan memastikan keamanan siber diintegrasikan ke dalam operasi bisnis.
-
Mengadopsi teknologi canggih dan pengujian berkelanjutan: Merangkul otomatisasi dan teknologi canggih untuk pengujian keamanan dan menutup kesenjangan keamanan. Tetap terdepan dalam menghadapi ancaman yang muncul dengan mengikuti kemajuan AI dan teknologi lainnya.
-
Carilah nasihat dan keahlian independen: Para pemimpin bisnis akan dipanggil untuk bertanggung jawab dalam mempekerjakan penasihat dan eksekutif keamanan siber yang berkualifikasi baik. Gunakan tiga pertanyaan berikut untuk memahami kondisi keamanan siber dalam organisasi saat ini. Carilah nasihat independen untuk menghadapi ancaman dan pertahanan saat ini. Dapatkan keahlian keamanan siber anggota dewan yang dikombinasikan dengan keterampilan bisnis penting lainnya, atau pekerjakan penasihat independen untuk memberikan wawasan berharga.
Apa yang belum terlihat adalah dampak penuh dari peningkatan penggunaan AI baik oleh penyerang maupun pembela. Seiring kemajuan teknologi AI, organisasi harus terus memastikan langkah-langkah keamanan siber mereka efektif. Sebuah survei baru-baru ini petugas keamanan TI mengungkapkan bahwa peningkatan penggunaan AI akan menyebabkan lebih banyak pelanggaran keamanan, sementara, sebaliknya, empat dari lima orang berniat menggunakan AI untuk mencegah pelanggaran yang sama. Kompleksitas yang sedang berlangsung dan perluasan area sistem kemungkinan besar akan menyebabkan peningkatan serangan siber pada tahun 2030. Hal ini memerlukan kewaspadaan terus-menerus, penerapan otomatisasi untuk manajemen ancaman dan kerentanan, dan peninjauan berkala terhadap langkah-langkah keamanan siber. Perusahaan juga harus memahami dan melindungi terhadap sistem baru yang mendukung AI yang sedang mereka kembangkan.
Risiko siber pada dasarnya adalah risiko bisnis, dan langkah-langkah keamanan siber yang efektif sangat penting untuk melindungi informasi berharga dan menjaga ketersediaan sistem.
Ada yang berpendapat bahwa keamanan siber hanya dapat dikelola oleh departemen TI. Namun, tanpa keterlibatan tingkat eksekutif, organisasi mungkin menghadapi gangguan bisnis yang signifikan dan sanksi peraturan. CEO harus memahami peran mereka dalam keamanan siber untuk memastikan perlindungan yang komprehensif.
Pola konsisten insiden dunia maya yang menyebabkan gangguan bisnis dan denda peraturan mendukung kesimpulan bahwa keterlibatan CEO sangat penting untuk memastikan bahwa perusahaan dapat menjawab tiga pertanyaan: Apa yang kita lakukan? Apakah itu cukup? Bagaimana kita tahu? Menentukan nilai bisnis yang berisiko dan jumlah perlindungan yang tepat memerlukan masukan dari bisnis. Sebagai pimpinan perusahaan, sekaranglah saatnya untuk memastikan bahwa tim teknologi mengelola pemantauan berkelanjutan, pengujian otomatis, dan penyelarasan dengan kebutuhan bisnis di seluruh perusahaan.