Eksekutif C-Level di Asia Tenggara Perlu Mengetahui Istilah Keamanan Siber Dasar

Studi terbaru dari perusahaan global cybersecurity Kaspersky mengungkapkan bahwa dari 300 responden survei yang merupakan eksekutif perusahaan di Asia Tenggara, satu dari 10 manajer C-Level di Asia Tenggara belum pernah mendengar mengenai ancaman seperti eksploitasi Botnet, APT, dan Zero-Day. Proporsi yang sama, eksekutif C-Level juga tampaknya tidak terbiasa dengan konsep keamanan siber seperti DecSecOps, ZeroTrust, SOC, dan Pantesting.

Dari jejak pendapat Kaspersky, tercatat bahwa C-Level terkadang kesulitan untuk memahami rekan keamanan TI mereka dan tidak selalu siap untuk menunjukkan kebingungan mereka.

Oleh karenanya, 26% eksekutif non-TI mengatakan bahwa mereka merasa tidak nyaman untuk menunjukkan bahwa mereka tidak memahami sesuatu selama berdiskusi dengan TI dan keamanan TI.

Baca Juga: Studi: Ada Kesenjangan Adopsi Solusi Siber antara C-Level dan Rekan TI

Meski sebagian besar menyembunyikan kebingungan karena mereka lebih suka mengklarifikasi semuanya setelah rapat atau memilih untuk mencari tahu semuanya sendiri, 55% tidak mengajukan pertanyaan tambahan karena mereka tidak yakin rekan TI dapat menjelaskannya dengan cara yang jelas. Hampir dua dari lima juga merasa malu mengungkapkan bahwa mereka tidak memahami topik dan 42% enggan ingin terlihat tidak peduli di depan rekan TI mereka.

"Manajemen puncak non-TI tidak harus ahli dalam terminologi dan konsep keamanan siber yang kompleks dan eksekutif keamanan TI harus mengingat hal ini saat berkomunikasi dengan dewan direksi. Untuk menjalin kerja sama yang efisien, CISO harus dapat memusatkan perhatian pada C-Level secara tepat pada detail yang bermakna dan menjelaskan dengan jelas apa yang sebenarnya dilakukan perusahaan untuk meminimalkan risiko keamanan siber. Selain mengomunikasikan metrik yang jelas kepada pemangku kepentingan, pendekatan ini membutuhkan penawaran solusi, bukan masalah," tutur Arsitek Solusi di Kaspersky, Sergey Zhuykov dalam pernyataan pada Senin (27/2/2023).

Selain itu, meski semua manajer puncak yang disurvei di Asia Tenggara secara rutin melakukan diskusi masalah terkait keamanan dengan manajer keamanan TI, namun lebih dari 1 dari 10 responden belum pernah mendengar ancaman seperti eksploitasi Zero-Day (11%), Botnet (9%), dan APT (9%).

Pada saat yang sama, Spyware, Malware, dan Phishing nampaknya lebih familiar bagi manajer puncak. Lebih dari 1 dari 10 manajer puncak mengakui bahwa mereka belum pernah mendengar istilah keamanan siber seperti DecSecOps (10%), SOC (10%), Pantesting (10%), dan ZeroTrust (6%).

"Di sisi lain dari spektrum komunikasi, hanya 6% profesional keamanan TI di Asia Tenggara yang mengaku menghadapi kesulitan dalam mendiskusikan aspek pekerjaan mereka kepada C-Level. Ini berarti mayoritas tenaga kerja teknis di wilayah ini menganggap bahwa update yang mereka berikan telah dipahami oleh pembuat keputusan. Untuk menjembatani kesenjangan yang berbahaya ini, tim keamanan juga harus menggabungkan alat yang efektif dengan contoh kehidupan nyata dan penggunaan laporan dan angka, untuk memastikan bahwa diskusi yang dilakukan secara efektif," ujar Managing Director untuk Asia Pasifik di Kaspersky Chris Connell.

C-Level kini perlu lebih memahami istilah-istilah yang penting. Sebuah data studi dari PwC mengungkapkan bahwa meski dukungan terhadap keamanan siber dalam setiap keputusan bisnis telah menjadi norma di setiap perusahaan lain, namun lebih dari separuh eksekutif kurang yakin bahwa anggaran siber mereka dialokasikan untuk risiko paling signifikan terhadap organisasi mereka.

Untuk memudahkan komunikasi antara keamanan TI dan fungsi bisnis dalam perusahaan, Kaspersky merekomendasikan hal-hal berikut:

• Kemanan TI harus diposisikan sebagai pendorong pertumbuhan dan inovasi dalam organisasi. Untuk mencapai hal ini, tim keamanan TI harus menjauh dari taktik penghalang dan lebih baik menjelaskan bagaimana bisnis dapat mencapai tujuannya sambil memitigasi risiko keamanan siber.
• CISO harus aktif terlibat dalam kegiatan operasional dan membangun hubungan dengan pemangku kepantingan perusahaan. Meskipun kurang dari 20% CISO telah menjalin kemitraan dengan eksekutif kunci dalam penjualan, keuangan, dan pemasaran, sulit bagi mereka untuk tetap mengikuti kebutuhan bisnis.
• Saat berkomunikasi dengan dewan direksi, gunakan argumen berdasarkan ikhtisar ancaman oleh para pakar, status serangan perusahaan Anda, dan praktik terbaik.
• Jelaskan kepada dewan direksi apa tanggung jawab utama tim keamanan TI. Jika memungkinkan, beri mereka kesempatan untuk berjalan di posisi CISO untuk mendapatkan wawasan tentang tantangan keamanan TI yang paling relevan.
• Alokasikan investasi keamanan siber pada alat yang terbukti efektif dan ROI. Ini berarti alat yang menurunkan tingkat positif palsu, dan mengurangi waktu deteksi serangan, waktu yang dihabiskan per kasus dan metrik lainnya penting bagi tim keamanan TI manapun.