Credit image: Freepix
Keamanan Siber Bukan Sekadar Biaya – Banyak pemimpin bisnis saat ini merasa tegang. Suku bunga tinggi yang persisten, ketegangan geopolitik, gangguan rantai pasokan, dan perubahan kebijakan perdagangan menciptakan iklim ketidakpastian baru.
Dalam situasi seperti ini, banyak perusahaan yang tergoda untuk menunda investasi dan mencari area untuk memotong biaya. Namun, ada satu area yang seharusnya tidak boleh menjadi target pemotongan biaya, Keamanan Siber (Cybersecurity).
Anda sebagai pemimpin IT atau keamanan tentu tahu alasannya. Tapi, apakah CEO atau Dewan Direksi Anda memiliki pemahaman yang sama?
Riset menunjukkan adanya kesenjangan persepsi yang serius:
- Hanya 29% dari Chief Information Security Officer (CISO) yang merasa memiliki anggaran yang cukup untuk mencapai tujuan keamanan mereka.
- Sebaliknya, 41% anggota Dewan Direksi berpikir anggaran keamanan saat ini sudah memadai.
Jika kesenjangan ini ada di organisasi Anda, inilah saatnya untuk menyusun argumen yang lebih kuat untuk keamanan siber.
UKM Masih Bekerja dalam Mode “Pemadam Kebakaran”
Meskipun keamanan siber kini lebih dihargai di tingkat senior, ia masih sering dilihat sebagai pusat biaya (cost center) daripada kebutuhan strategis, terutama oleh Usaha Kecil dan Menengah (UKM/SMB).
Menurut Global Technology Industry Association (GTIA), hampir setengah (46%) UKM hanya menganggap siber sebagai area yang “pentingnya di level menengah.”
Bahkan, 12% UKM mengaku masih berada dalam mode taktis/reaktif. Dengan kata lain, mereka terus-menerus “memadamkan kebakaran” (putting out fires), alih-alih berinvestasi di awal untuk mencegah kebakaran terjadi.
Ada dua cara untuk mengubah pola pikir ini:
- Artikulasikan dengan jelas bagaimana keamanan siber membantu Dewan Direksi menghindari risiko bisnis yang sangat kritis.
- Buat kasus yang lebih kuat bahwa keamanan siber adalah pendukung bisnis (business enabler).
|
Baca juga: Ancaman Rantai Pasok Mengintai UMKM |
Menghitung Biaya dari Keamanan Siber yang Tidak Memadai
Berita baiknya, ada banyak studi kasus nyata yang dapat Anda gunakan untuk meyakinkan Dewan Direksi tentang potensi biaya dari pengeluaran keamanan yang tidak memadai:
- UnitedHealth Group memperkirakan biaya serangan ransomware pada Change Healthcare mencapai hampir $2,9 miliar pada tahun 2024.
- M&S (perusahaan ritel besar) memperkirakan kerugian laba operasional sebesar £300 juta akibat serangan ransomware baru-baru ini.
- National Public Data, spesialis pemeriksaan latar belakang, terpaksa mengajukan kebangkrutan setelah pelanggaran data tahun 2024 yang mengekspos hampir tiga miliar catatan.
Laporan “Cost of a Data Breach” dari IBM juga dapat menjadi sumber daya yang bagus. Laporan ini tidak hanya menguraikan rata-rata biaya pelanggaran data ($4,4 juta).
Tetapi juga menunjukkan berapa banyak investasi teknologi atau strategi keamanan tertentu yang dapat memangkas biaya tersebut. Intinya, semakin lama penyerang diizinkan berada di jaringan Anda, semakin besar biayanya.
Investasi pada teknologi seperti SIEM, SOAR, dan Threat Intelligence dapat memberikan penghematan biaya yang signifikan. Investasi strategis seperti DevSecOps, penunjukan CISO, dan pengawasan tingkat Dewan Direksi bahkan lebih penting.
Data semacam ini dapat menggeser pembicaraan dari pengeluaran reaktif (break/fix) menuju pengembangan budaya keamanan sejak dini (security-by-design) di organisasi Anda.
Dari Pusat Biaya Menjadi Pendukung Bisnis
Jika argumen risiko finansial dan reputasi tidak cukup untuk mengubah persepsi di organisasi Anda, argumen kepatuhan (compliance) dapat membantu:
- Regulasi seperti NIS2 dan DORA di Uni Eropa menuntut keamanan siber diperlakukan sebagai program manajemen risiko berkelanjutan yang dirancang untuk meningkatkan ketahanan bisnis.
- Kepemimpinan senior diharapkan untuk secara langsung mendefinisikan, menyetujui, dan mengawasi program-program ini, dan menjalani pelatihan wajib agar mereka memahami risiko serta membuat keputusan yang tepat. Bahkan, mereka dapat dimintai pertanggungjawaban pribadi atas implementasinya.
Mengapa Keamanan Siber Adalah Keunggulan Bisnis
Bagi UKM yang tidak terpengaruh oleh regulasi progresif di atas, bagaimana Anda meyakinkan eksekutif bahwa keamanan yang “cukup baik” (good enough) itu tidak cukup? Dengan menarik naluri bisnis mereka:
- Strategi siber yang efektif membantu melindungi IP dan diferensiasi kompetitif Anda, yang sangat penting dalam sektor seperti teknologi, manufaktur, dan media.
- Keamanan yang kuat memungkinkan ekspansi ke pasar baru (misalnya, UE atau negara bagian AS tertentu) yang menerapkan regulasi ketat (seperti CCPA), membuka peluang bisnis yang sebelumnya tertutup.
- Serangan siber yang kritis dapat menghentikan proyek, mengalihkan sumber daya, mengikis kepercayaan pemangku kepentingan, dan menggagalkan prioritas bisnis. Keamanan siber adalah fondasi transformasi digital yang sukses.
- Merilis produk yang tidak aman dapat menghancurkan reputasi dan loyalitas pelanggan. Keamanan yang kuat membantu membangun kepercayaan dan mendorong keuntungan jangka panjang.
|
Baca juga: Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru |
Pesan dan Pembawa Pesan
Anda mungkin memiliki ide yang tepat, tetapi Dewan Direksi mungkin masih belum mendengarkan. Permasalahannya bisa datang dari kedua sisi, pemimpin bisnis cenderung berpikir siber hanya sebagai “masalah IT,” sementara CISO terkadang gagal berbicara dalam bahasa bisnis.
Untuk mengatasi tantangan ini, pertimbangkan langkah-langkah berikut:
- Bingkai Keamanan Siber sebagai Risiko Bisnis: Buang jargon teknis. Bicaralah tentang dampak bisnis dari berbagai skenario (misalnya, kerugian pendapatan, denda regulasi, atau waktu henti).
- Gunakan Metrik Bisnis: Gunakan metrik yang selaras dengan keuangan dan bisnis, bukan yang berpusat pada keamanan (misalnya, Return on Investment (ROI) dari investasi keamanan).
- Gunakan Contoh Nyata: Gunakan studi kasus dunia nyata dan kisah peringatan (cautionary tales) (seperti contoh di atas) untuk mendapatkan sanksi investasi spesifik.
- Beri Konteks: Tunjukkan intelijen tentang apa yang diinvestasikan oleh perusahaan serupa dan mengapa. Ini membantu pemimpin memahami di mana posisi Anda.
- Laporkan Secara Teratur: Laporkan kepada Dewan Direksi secara singkat dan sering. Ancaman bergerak cepat, tetapi jangan tenggelamkan mereka dalam data.
- Bangun Hubungan: Membangun hubungan pribadi dengan anggota Dewan Direksi atau eksekutif senior. Selalu ada baiknya memiliki pendukung di meja teratas.
Perusahaan yang paling tangguh adalah perusahaan yang bergeser dari melihat keamanan siber sebagai biaya operasional menjadi penggerak kepercayaan dan nilai jangka panjang.
Pada akhirnya, jauh lebih murah untuk membangun keamanan sejak dini (security by design) ke dalam proyek dan penawaran bisnis baru daripada memperbaikinya setelah terjadi masalah.
Anda sudah tahu ini. Sekarang, tugas Anda adalah meyakinkan Dewan Direksi.
Sumber berita:
