Tanggung jawab berhenti di sini: Taruhannya tinggi bagi CISO

Keamanan Bisnis

Beban kerja yang berat dan tanggung jawab pribadi atas suatu insiden sangat merugikan para pemimpin keamanan, sehingga banyak dari mereka yang mencari jalan keluar. Apa dampaknya bagi pertahanan siber perusahaan?

Phil Muncaster

08 Februari 2024  •  , 5 menit Baca

Keamanan siber akhirnya tercapai menjadi masalah tingkat dewan. Hal ini memang seharusnya terjadi, mengingat semakin pentingnya peran manajemen risiko siber dalam pengambilan keputusan strategis. Risiko dunia maya pada dasarnya adalah risiko bisnis inti yang berpotensi menimbulkan atau menghancurkan sebuah organisasi. Itu tentu saja merupakan pemikiran di baliknya aturan peraturan baru di Amerika. 

Namun dengan menyadari pentingnya hal ini, dewan direksi dan regulator juga memberikan tekanan lebih besar kepada CISO, tanpa memberikan mereka pengakuan dan penghargaan yang pantas. Hasilnya: meningkatnya stres, kelelahan, dan ketidakpuasan. Tiga perempat (75%) CISO dikatakan terbuka terhadap perubahan, naik delapan poin persentase dibandingkan tahun lalu. Dan 64% merasa puas dengan peran mereka, turun 10%.

Tantangan-tantangan ini mempunyai implikasi serius terhadap keamanan siber dalam organisasi. Mengatasinya harus menjadi prioritas mendesak.

Peran yang semakin menegangkan

CISO selalu memiliki pekerjaan yang penuh tekanan. Di antara pengemudi baru-baru ini adalah:

• Bergelombang tingkat ancaman siber, yang membuat banyak organisasi berada dalam mode pemadaman kebakaran terus menerus
• Industri kekurangan keterampilan yang membuat tim-tim kunci kekurangan staf
• Beban kerja yang berlebihan karena meningkatnya kebutuhan ruang rapat
• Kurangnya sumber daya dan pendanaan yang memadai
• Beban kerja yang memaksa CISO bekerja berjam-jam dan membatalkan hari libur
• Transformasi digital yang terus memperluas korporasi permukaan serangan siber
• Persyaratan kepatuhan yang terus bertambah setiap tahunnya

Tidak mengherankan jika seperempat (24%) pemimpin TI dan keamanan global telah mengakui melakukan pengobatan sendiri untuk mengurangi stres. Meningkatnya tingkat stres tidak hanya meningkatkan kemungkinan kelelahan dan/atau pensiun dini – tetapi juga dapat menyebabkan pengambilan keputusan yang buruk (seperti yang dicatat oleh Penelitian ini, misalnya), serta berdampak pada keterampilan kognitif dan kemampuan berpikir rasional. Bahkan, antisipasi terhadap hari yang penuh tekanan di masa depan dapat memengaruhi kognisi. Sekitar dua pertiga (65%) CISO mengakui bahwa stres terkait pekerjaan telah mengganggu kemampuan mereka untuk bekerja.

Pengawasan memberikan tekanan lebih lanjut kepada CISO

Selain tekanan ini, terdapat pula pengawasan ekstra terhadap peraturan, hukum, dan dewan selama beberapa bulan terakhir. Tiga peristiwa baru-baru ini memberikan pelajaran:

• May 2023: Mantan CSO Uber, Joe Sullivan dijatuhi hukuman hingga tiga tahun masa percobaan setelah dinyatakan bersalah atas dua tindak pidana kejahatan terkait perannya dalam upaya menutup-nutupi pelanggaran besar tahun 2016. Para pendukung mengklaim dia dikambinghitamkan oleh CEO saat itu Travis Kalanick dan pengacara internal Uber Craig Clark, dengan Sullivan menjelaskan bahwa Kalanick telah menandatangani pembayaran kontroversialnya sebesar $100,000 kepada para peretas.
• Oktober 2023: Pertama, itu SEC menagih SolarWinds CISO Timothy Brown karena meremehkan atau tidak mengungkapkan risiko dunia maya dan melebih-lebihkan praktik keamanan perusahaan. Keluhan tersebut mengacu pada beberapa komentar internal yang dibuat oleh Brown dan menuduh dia gagal menyelesaikan atau mengangkat kekhawatiran serius ini di dalam perusahaan.
• Desember 2023: Aturan pelaporan SEC yang baru mulai berlaku, mewajibkan perusahaan publik untuk melaporkan insiden siber yang “material” dalam waktu empat hari kerja sejak penentuan materialitasnya. Perusahaan juga perlu menjelaskan setiap tahun proses mereka dalam menilai, mengidentifikasi dan mengelola risiko serta dampak dari setiap insiden. Dan mereka perlu merinci pengawasan dewan terhadap risiko dunia maya dan keahliannya dalam menilai dan mengelola risiko tersebut.

Pengawasan peraturan tidak hanya dilakukan di AS. Arahan NIS2 baru yang akan diubah menjadi undang-undang negara-negara anggota UE pada bulan Oktober 2024 memberikan tanggung jawab langsung kepada dewan untuk menyetujui langkah-langkah manajemen risiko siber dan mengawasi penerapannya. Anggota C-suite juga dapat dimintai pertanggungjawaban secara pribadi jika ditemukan lalai dalam kasus insiden serius.

Menurut Analis Grup Strategi Perusahaan (EST) Jon Oltsik, meningkatnya tekanan yang diberikan kepada CISO membuat tugas utama mereka dalam merespons ancaman dan mengelola risiko dunia maya menjadi lebih menantang. Sebuah studi ESG baru-baru ini mengungkapkan bahwa tugas-tugas seperti bekerja dengan dewan, mengawasi kepatuhan terhadap peraturan, dan mengelola anggaran mengubah peran CISO dari yang bersifat teknis menjadi berorientasi bisnis. Pada saat yang sama, ketergantungan terhadap teknologi informasi (TI) yang mendorong transformasi digital dan kesuksesan bisnis semakin besar. Survei tersebut mengklaim 65% CISO telah mempertimbangkan untuk meninggalkan peran mereka karena stres.

Kesimpulan untuk CISO dan dewan direksi

Intinya adalah jika CISO kesulitan mengatasi beban kerja, dan takut akan sanksi peraturan dan bahkan tanggung jawab pidana atas tindakan mereka, mereka kemungkinan besar akan mengambil keputusan yang lebih buruk dalam kehidupan sehari-hari. Bahkan banyak yang mungkin meninggalkan industri ini. Hal ini akan mempunyai dampak yang sangat buruk pada suatu sektor berjuang dengan kekurangan keterampilan.

Namun tidak perlu seperti ini. Ada beberapa hal yang dapat dilakukan oleh dewan dan CISO mereka untuk meringankan situasi ini. Adalah kepentingan terbaik mereka berdua untuk menemukan jalan keluar dari masalah ini. Pertimbangkan hal berikut:

• Dewan harus menilai kesehatan mental, beban kerja, sumber daya, dan struktur pelaporan CISO untuk mengoptimalkan efektivitasnya. Tingkat pengurangan karyawan yang tinggi dapat menyebabkan kesenjangan yang panjang jika tidak ada CISO yang bekerja penuh waktu, sehingga menurunkan motivasi tim dan berdampak pada strategi keamanan.
• Dewan harus memberikan remunerasi kepada CISO mereka sejalan dengan meningkatnya risiko yang ditimbulkan oleh peran mereka saat ini.
• Keterlibatan dewan CISO secara berkala sangat penting, dengan jalur pelaporan langsung ke CEO jika memungkinkan. Hal ini akan membantu meningkatkan komunikasi antara keduanya dan meningkatkan posisi CISO sejalan dengan tanggung jawab mereka.
• Dewan harus menyediakan CISO mereka asuransi direktur dan petugas (D&O). untuk membantu melindungi mereka dari risiko serius.
• CISO harus tetap berpegang pada industri yang mereka cintai, dan memikul tanggung jawab yang lebih besar daripada lari darinya. Namun mereka juga harus ingat bahwa peran mereka adalah memberi nasihat dan memberikan konteks kepada dewan. Biarkan orang lain mengambil keputusan besar.
• CISO harus selalu mengedepankan transparansi dan keterbukaan, terutama dengan regulator.
• CISO harus berhati-hati mengenai apa yang mereka edarkan secara internal dan memastikan keputusan atau permintaan kontroversial dari C-suite selalu dicatat secara tertulis.

Saat mencari peran baru, CISO harus menyewa pengacara pribadi untuk membahas calon kontrak mereka secara rinci.

Untuk mengoptimalkan strategi keamanan siber, dewan direksi harus mulai dengan menilai kembali peran CISO yang mereka inginkan. Langkah selanjutnya adalah memastikan profesional keamanan siber dalam peran tersebut memiliki dukungan yang cukup dan penghargaan yang memadai agar tetap bertahan di sana.