FinTechnesia.com | Baru-baru ini, studi Kaspersky menemukan satu dari sepuluh manajer C-level belum pernah mendengar tentang ancaman siber. Seperti eksploitasi Botnet, APT, dan Zero-Day.
Proporsi yang sama tampaknya tidak terbiasa dengan konsep keamanan siber seperti DecSecOps, ZeroTrust, SOC, dan Pentesting.
Menurut studi PwC, meski dukungan terhadap keamanan siber dalam setiap keputusan bisnis telah menjadi norma di setiap perusahaan lain, lebih dari separuh eksekutif kurang yakin bahwa anggaran siber mereka dialokasikan untuk risiko paling signifikan terhadap organisasi mereka.
Kaspersky melakukan penelitian mereka sendiri untuk membantu TI dan C-level menemukan titik temu dan menggali akar kesalahpahaman mereka. Survei terhadap 300 eksekutif dari wilayah Asia Tenggara.
Jajak pendapat Kaspersky menunjukkan, C-level terkadang kesulitan memahami rekan keamanan TI mereka dan tidak selalu siap untuk menunjukkan kebingungan mereka. Oleh karena itu, 26% eksekutif non-TI di sini mengatakan, mereka merasa tidak nyaman menunjukkan, mereka tidak memahami sesuatu selama berdiskusi dengan TI dan keamanan TI.
Baca juga: Kaspersky Ungkap Ancaman Siber yang Akan Muncul di Tahun 2023
Meskipun sebagian besar menyembunyikan kebingungan karena mereka lebih suka mengklarifikasi semuanya setelah rapat atau memilih untuk mencari tahu semuanya sendiri, lebih dari setengah (55%) tidak mengajukan pertanyaan tambahan karena mereka tidak yakin rekan TI dapat menjelaskannya
dengan cara yang jelas.
Hampir dua dari lima juga merasa malu mengungkapkan bahwa mereka tidak
memahami topik dan 42% enggan ingin terlihat tidak peduli di depan rekan TI mereka.
Selain itu, meskipun semua manajer puncak yang disurvei dari Asia Tenggara secara rutin mendiskusikan masalah terkait keamanan dengan manajer keamanan TI, lebih dari satu dari sepuluh responden belum pernah mendengar tentang ancaman seperti eksploitasi Zero-Day (11%), Botnet (9%), dan APT (9%).
Pada saat yang sama, Spyware, Malware, Trojan, dan Phishing tampaknya lebih
familiar bagi manajer puncak. Lebih dari satu dari sepuluh manajer puncak di sini mengakui bahwa mereka belum pernah mendengar istilah keamanan siber. Seperti DecSecOps (10%), SOC (10%), Pentesting (10%), dan ZeroTrust (6%).
“Manajemen puncak non-TI tidak harus ahli dalam terminologi dan konsep keamanan siber yang kompleks, dan eksekutif keamanan TI harus mengingat hal ini saat berkomunikasi dengan dewan direksi,” ujar Sergey Zhuykov, Arsitek Solusi di Kaspersky, Senin (27/2).
“Untuk menjembatani kesenjangan yang berbahaya ini, Tim keamanan juga harus menggabungkan alat yang efektif – contoh kehidupan nyata dan penggunaan
laporan dan angka – untuk memastikan bahwa diskusi dilakukan secara efektif,” tambah Chris Connell, Managing Director untuk Asia Pasifik di Kaspersky.
Untuk memudahkan komunikasi antara keamanan TI dan fungsi bisnis dalam perusahaan, Kaspersky merekomendasikan beberapa hal.
• Keamanan TI harus diposisikan sebagai pendorong pertumbuhan dan inovasi organisasi. Untuk mencapai hal ini, tim keamanan TI harus menjauh dari taktik penghalang dan lebih baik menjelaskan bagaimana bisnis dapat mencapai tujuannya sambil memitigasi risiko keamanan siber.
• CISO harus aktif terlibat dalam kegiatan operasional dan membangun hubungan dengan pemangku kepentingan perusahaan. Meskipun kurang dari 20% CISO telah menjalin kemitraan dengan eksekutif kunci dalam penjualan, keuangan, dan pemasaran, sulit bagi mereka untuk tetap mengikuti kebutuhan bisnis.
• Saat berkomunikasi dengan dewan direksi, gunakan argumen berdasarkan ikhtisar ancaman para pakar, status serangan perusahaan Anda, dan praktik terbaik.
• Jelaskan kepada dewan direksi apa tanggung jawab utama tim keamanan TI. Jika
memungkinkan, beri mereka kesempatan untuk berjalan di posisi CISO untuk mendapatkan wawasan tentang tantangan keamanan TI yang paling relevan.
• Alokasikan investasi keamanan siber pada alat yang terbukti efektif dan ROI. Ini berarti alat yang menurunkan tingkat positif palsu, dan mengurangi waktu deteksi serangan, waktu yang dihabiskan per kasus, dan metrik lain penting bagi tim keamanan TI mana pun. (iwa)