Mantan CISO Uber Joe Sullivan, yang dihukum karena berusaha menutupi pelanggaran data yang dialami Uber pada tahun 2016, baru-baru ini menduga bahwa dalam waktu dekat, para CEO mungkin akan mendapati diri mereka bertanggung jawab langsung atas pelanggaran keamanan siber.
Mengingat perubahan dalam Kerangka Keamanan Siber 2.0 (CSF 2.0) yang menekankan tata kelola dan komunikasi dengan dewan direksi, Sullivan benar untuk berasumsi bahwa tanggung jawab tidak akan berhenti pada CISO dan kemungkinan akan meningkat.
Dalam esainya, Sullivan mendesak para CEO untuk memberi CISO sumber daya yang lebih besar untuk melakukan pekerjaan mereka. Namun, jika ia berbicara tentang pendanaan untuk membeli lebih banyak kontrol keamanan, ini mungkin akan sulit diterima oleh para CEO. Pertumbuhan anggaran keamanan siber secara konsisten melampaui pengeluaran TI secara umum. Sementara pertumbuhan anggaran keamanan siber melambat pada tahun 2022 dan 2023 karena masalah ekonomi, survei CISO baru-baru ini telah melaporkan pertumbuhan yang kuat dalam pengeluaran keamanan siber di perusahaan.
Sementara itu, CISO tahu bahwa mereka memiliki kontrol keamanan yang lebih banyak daripada yang dapat mereka kelola: Penyebaran perangkat dan kelumpuhan perangkat merupakan kegagalan yang diketahui – item baris untuk kontrol keamanan siber baru bukanlah masalahnya.
Empat langkah utama: Waktu tayang, metrik, magang, dan pemantauan proses
Jika lebih banyak uang tunai untuk kontrol baru atau yang diperluas tidak dibutuhkan, apa yang dapat diberikan CEO kepada CISO untuk mengurangi risiko dan pada akhirnya menopang tanggung jawab hukum yang dihadapi oleh CEO itu sendiri?
Lebih banyak waktu tayang dengan dewan direksi
Sebagian besar dewan direksi masih kekurangan konteks dan pemahaman tentang ruang lingkup tantangan yang dihadapi tim keamanan siber saat ini.
Sebagian dari hal ini disebabkan oleh kurangnya keterbukaan. Meskipun semakin banyak badan regulasi – termasuk SEC, FTC, dan CISA – telah mengamanatkan pengungkapan yang ketat dan perencanaan keamanan siber untuk entitas yang terdaftar secara publik, hanya sebagian kecil perusahaan publik yang memiliki Komite Teknologi di Direksi mereka, apalagi percakapan keamanan siber rutin untuk mengeksplorasi ancaman dan risiko.
Sebagian dari hal ini disebabkan oleh kesalahan penempatan audit keamanan siber di bawah kantor penasihat umum atau CFO, yang berarti audit tersebut merupakan anak tiri yang dimiliki oleh orang tua yang bukan penduduk asli bahasa atau sejarahnya. Terlepas dari itu, mendedikasikan waktu 30 menit dalam setiap rapat Direksi untuk membahas tantangan keamanan siber dengan CISO perusahaan akan membantu mereka membangun modal politik yang diperlukan untuk mengangkat masalah siber ke tingkat dewan direksi.
Seperangkat metrik bersama yang diterbitkan dalam laporan triwulanan
CEO mana pun yang tidak menganggap keamanan siber sebagai masalah penting bagi kesehatan keuangan perusahaan mereka berarti tidak memperhatikan hal itu.
Change Healthcare, anak perusahaan asuransi raksasa yang diperdagangkan secara publik, menghadapi tagihan pemulihan insiden yang mungkin mencapai miliaran dolar setelah serangan ransomware melumpuhkan sistem verifikasi dan pembayaran apoteknya. Change Healthcare mungkin juga menghadapi miliaran ganti rugi hukum karena kerugian yang dialami oleh organisasi perawatan kesehatan dan rumah sakit yang bergantung pada layanan tersebut. Pada tahun 2017, pelanggaran karena komponen perangkat lunak yang tidak ditambal merugikan lembaga pelaporan kredit Equifax lebih dari $1 miliar, termasuk biaya hukum, layanan pelanggan tambahan, dan respons insiden.
Para CEO akan diuntungkan dengan menunjukkan bahwa mereka peduli dengan keamanan siber dan menambahkan metrik ke laporan perusahaan untuk menunjukkan bahwa hal itu merupakan masalah yang signifikan. Bagi para CISO, menyetujui serangkaian metrik dengan CEO akan memberikan North Star yang terlihat dan fungsi pemaksaan untuk menyelaraskan sumber daya dan jumlah karyawan guna memastikan metrik terus bergerak ke arah yang benar.
Program magang keamanan siber untuk mendatangkan insinyur junior
Meskipun tim keamanan siber menggunakan banyak teknologi, manusialah yang paling berperan dalam menggerakkan perubahan.
Kekurangan tenaga ahli keamanan siber semakin parah. Menurut ISC2, dunia kekurangan sekitar 4 juta pakar keamanan siber yang dibutuhkan. Padahal, jumlah tenaga ahli keamanan siber meningkat hampir 10% pada tahun 2023.
Di pasar kerja yang sangat kompetitif, memasang lowongan kerja baru tidak akan berhasil. Semakin banyak perusahaan teknologi, seperti IBM, yang membuat jalur magang untuk mencari dan melatih teknisi junior dari berbagai latar belakang, seperti perguruan tinggi atau universitas yang kurang dikenal. Meskipun pendekatan ini membutuhkan lebih banyak infrastruktur dan kurikulum yang layak, serta kesabaran, pendekatan ini dapat menghasilkan jalur karyawan yang lebih kuat yang dapat langsung bekerja dengan pengetahuan kelembagaan sebelumnya tentang sistem yang mereka jaga.
Pemetaan dan pemantauan proses keamanan berkelanjutan
Meskipun unsur manusia sangat penting dalam menopang keamanan siber, manusia juga sering kali menjadi mata rantai terlemah dalam rantai keamanan siber.
Sebagian besar pelanggaran dan serangan besar melibatkan kesalahan manusia. Sebagian besar CISO melakukan tim Merah latihan, gunakan pengujian penetrasi atau layanan atau alat simulasi pelanggaran dan serangan, dan lakukan tindakan lain untuk menguji respons insiden. Alat forensik siber dapat membantu memetakan rantai serangan, dan analisis akar penyebab yang terperinci dapat menunjukkan kegagalan tertentu dalam latihan tertentu. Namun, CISO tidak memiliki analisis berkelanjutan terhadap respons insiden dan cenderung hanya berfokus pada pelanggaran terburuk, meskipun hal itu mungkin hanya mungkin terjadi karena “utang proses” sebelumnya dengan tim siber yang secara tidak sengaja meninggalkan celah risiko.
Karena kompleksitas interaksi dan proses keamanan siber serta sifat respons insiden yang tidak dapat diprediksi, pemetaan proses keamanan dapat menjadi tantangan. Meski demikian, kasus-kasus yang diajukan terhadap CISO semuanya bergantung pada tuduhan penipuan dan kecurangan. Tuduhan semacam itu lebih sulit dipertahankan jika tidak ada sistem yang secara otomatis menangkap proses keamanan dan perilaku manusia, sehingga menghilangkan area abu-abu yang berisiko dari “niat”. Solusi yang lebih baru dapat menerapkan pemetaan dan pemantauan proses pada alur kerja keamanan, memastikan visibilitas dan penegakan praktik terbaik.
Kesimpulan: Kolaborasi dengan CISO sangat penting
Para CEO yang serius dengan keamanan siber harus memprioritaskan kolaborasi dengan CISO mereka dan menempatkan mereka dalam rotasi untuk rapat rutin. Peningkatan anggaran yang cukup untuk peralatan mungkin diperlukan karena AI menimbulkan banyak risiko baru, tetapi itu tidak cukup dan juga bukan langkah yang paling penting.
CISO membutuhkan orang-orang yang lebih baik dan proses yang lebih baik untuk memenuhi janji menjaga keamanan perusahaan. Badan regulasi tidak hanya tertarik pada kompetensi tetapi juga niat dan proses sebagai bukti upaya terbaik yang umumnya diamanatkan oleh hukum. Metrik adalah salah satu Bintang Utara tetapi memvisualisasikan dan meningkatkan proses yang dilakukan oleh teknisi manusia sama relevannya. Karena semakin banyak CISO yang menghadapi tuntutan, CEO harus khawatir bahwa mereka mungkin menjadi sasaran berikutnya — dan harus mulai berpikir tentang cara melindungi aset siber dan tim siber mereka dengan lebih baik.