Karena keamanan siber telah menjadi pertimbangan yang semakin penting dalam pengambilan keputusan perusahaan, terdapat langkah serupa untuk meningkatkan peran chief information security officer (CISO) ke tingkat yang lebih tinggi dalam hierarki eksekutif. Alasannya adalah, โJika dunia maya penting, maka CISO juga harus penting.โ Namun, peningkatan peran ini akan membuat CISO menjadi satu-satunya pihak yang menyuarakan โkeamanan,โ dan tidak memiliki banyak koneksi dengan pengambil keputusan sehari-hari di bidang TI, teknik, atau produk.
Hal ini menimbulkan beberapa konsekuensi yang tidak diinginkan, seperti eksekutif Facebook yang menganggap tindakan keamanan perusahaan tidak masalah menyebabkan penundaan selama berjam-jam dalam menanggapi pemadaman pada 4 Oktober 2021, atau eksekutif Uber yang membayar hacker yang melanggar sistemnya, alih-alih mengakui pelanggaran tersebut, atau sejumlah CISO yang telah berinvestasi pada โlapisan keamanan tambahanโ alih-alih mengakui bahwa mereka membuat pilihan yang buruk pada awalnya. Dalam semua kasus ini, isolasi CISO dari unit-unit bisnis fungsional tidak diragukan lagi memainkan peran dalam terowongan pemikiran yang tercermin dalam keputusan-keputusan ini.
Dampak Organisasi
Mungkin ini saatnya memikirkan kembali peran CISO. Mungkin lebih baik melihat pentingnya CISO tercermin dalam dampak organisasinya dibandingkan status organisasinya. Mungkin menanamkan keamanan di unit fungsional akan menghasilkan keamanan yang lebih baik.
Bayangkan CISO sebagai bagian dari ekosistem organisasi TI. Mereka akan dilibatkan dalam setiap pengambilan keputusan mengenai infrastruktur, dan permasalahan keamanan akan menjadi bagian integral dalam pengambilan keputusan tersebut dibandingkan hanya diambil setelahnya. Hal ini akan memungkinkan serangkaian solusi โkeamananโ berdasarkan pada bagaimana jaringan disusun dan dikelola, bukan pada kemampuan keamanan khusus yang dimasukkan ke dalam infrastruktur oleh kelompok luar.
Bayangkan seorang pakar keamanan yang ditempatkan di organisasi pengembangan perangkat lunak. Mereka akan mampu menyempurnakan proses pengembangan untuk memastikan kode ditulis dan diuji dengan memperhatikan keamanan, tanpa membebani pengembang dengan proses yang asing bagi mereka, sehingga mengurangi kerentanan dalam kode perusahaan. Bayangkan seorang pakar keamanan yang tertanam dalam lini produk. Mereka akan dapat memastikan infrastruktur perusahaan melindungi IP mereka dan bahwa proses pengembangan mengurangi kerentanan pada produk mereka.
Dalam semua kasus ini, keamanan menjadi faktor dalam pengambilan keputusan perusahaan berdasarkan realitas operasi perusahaan. Keahlian teknis CISO menjadi bagian integral dalam pekerjaan sehari-hari dan bukan menjadi kendala yang dibebankan padanya. Demikian pula, keamanan dan kepatuhan harus berjalan lancar agar sistem keuangan dan komunikasi dengan mitra dan vendor tetap aman. Hal ini meluas ke sistem telekomunikasi dan perangkat keras lainnya.
Faktor Risiko
Hal ini sepertinya merupakan cara yang lebih berdampak untuk menjadikan dimensi teknis keamanan sebagai suara yang kuat dalam pelaksanaan perusahaan. Namun, kita mungkin bertanya-tanya apakah hal ini akan mengurangi dimensi kebijakan, dan menjadikannya balkanisasi untuk menangani kepentingan khusus unit-unit fungsional tertentu. Kekhawatiran ini dapat diatasi dengan memperluas peran chief risk officer untuk mencakup fungsi kebijakan keamanan yang saat ini dijalankan oleh CISO.
Hal ini mempunyai manfaat menjaga kebijakan keamanan pada tingkat C, sehingga kebijakan tersebut mendapat perhatian yang diperlukan. Manfaat lebih lanjut adalah dengan mempertimbangkan risiko keamanan siber dalam konteks risiko lainnya (risiko terhadap ketersediaan, risiko terhadap reputasi, untuk mengatasi kasus-kasus di atas). Keamanan tidak lagi menjadi tujuan akhir, namun menjadi dimensi dalam berbisnis. Hal ini tidak berarti keamanan harus berhadapan dengan permasalahan lain dan membuat akomodasi yang membahayakan postur keamanan organisasi. Sebaliknya, hal ini menciptakan lingkungan yang memperdagangkan mentalitas ini/atau dengan mentalitas yang berupaya memenuhi semua persyaratan.
Ada banyak teknologi kontrol akses yang dapat melindungi Facebook secara efektif tanpa mengunci personelnya sendiri. Ketika risiko keamanan dipertimbangkan bersama dengan risiko ketersediaan, solusi yang lebih pragmatis akan muncul.
