CISO Insider: Edisi 1

COVID-19 telah mengharuskan organisasi untuk semakin bergantung pada fleksibilitas tempat kerja dan mempercepat transformasi digital—dan perubahan ini juga dengan sendirinya memerlukan perubahan di dalam taktik keamanan. Perimeter telah meluas dan semakin hibrid, membentang di antara cloud dan platform majemuk. Meskipun teknologi baru memberikan keuntungan bagi banyak organisasi serta memungkinkan produktivitas dan pertumbuhan bahkan di masa-masa sulit, peralihan tersebut juga memberikan peluang bagi penjahat cyber, yang bekerja untuk mengeksploitasi kerentanan pada lingkungan digital yang semakin kompleks.

Meningkatnya serangan pengelabuan terkait pekerjaan jarak jauh menjadi perhatian utama bagi profesional keamanan yang berbincang dengan saya—dan kami juga melihat hal itu tercermin di dalam penelitian kami. Dalam survei Microsoft terhadap pemimpin keamanan yang diselenggarakan pada tahun 2020, 55 persen memberi tahu kami bahwa organisasi mereka telah mendeteksi peningkatan serangan pengelabuan sejak awal pandemi, 88 persen mengatakan bahwa serangan pengelabuan telah memengaruhi organisasi mereka. Saya juga rutin mendengar terjadinya pelonjakan pada serangan ransomware, bagaimana program jahat masih terus menjadi ancaman, dan bagaimana penyusupan identitas tetap menjadi tantangan utama yang mewabah bagi tim keamanan.

Selain itu, kita tahu bahwa serangan negara-bangsa semakin gigih dan agresif. Serangan rantai pasokan NOBELIUM, yang memanfaatkan platform SolarWinds, adalah salah satu dari banyak serangan baru yang menjadi berita utama tahun lalu. Meskipun teknik baru mengagumkan kerap menarik perhatian di tengah siklus berita, para CISO secara konsisten berkata kepada saya, bahwa bahkan pelaku ancaman tingkat lanjut, seperti sebagian besar penjahat cyber, cenderung berfokus pada serangan yang memanfaatkan peluang, berbiaya rendah namun bernilai tinggi.

Untuk memberikan ilustrasi lebih jelas mengenai poin ini, kami melihat peningkatan kecil terkait penyerang negara bangsa yang menggunakan serangan password-spray. Pemimpin keamanan bertugas mengelola risiko dan mengatur prioritas—dan banyak pemimpin berkata kepada saya, bahwa memperkuat kebersihan cyber untuk mencegah lini serangan paling umum, khususnya di seluruh jejak digital mereka yang tengah berkembang, adalah prioritas utama. Dan data serta riset kami mendukung sentimen ini—kami mengestimasi bahwa kebersihan keamanan dasar masih melindungi dari 98 persen serangan (lihat halaman 124 di dalam Laporan Pertahanan Digital Microsoft, Oktober 2021).

Anda mungkin mengira, bahwa membicarakan langkah keamanan fundamental itu mudah, tetapi mengimplementasikan dalam kehidupan nyata jauh lebih sulit, terutama ketika tim memiliki terlalu banyak pekerjaan dan kekurangan staf. Namun, saya akan berargumen, bahwa pemimpin keamanan bertugas untuk mengelola risiko dan mengatur prioritas—sehingga berfokus pada hal-hal fundamental akan menjadi pendekatan yang sangat pragmatis. Sering kali, insiden keamanan bukan soal JIKA melainkan KAPAN. Ada ratusan statistik keamanan cyber yang mengkhawatirkan, seperti kira-kira 4.000 serangan kejahatan cyber yang dilancarkan setiap harinya di AS saja, dan lebih dari 30.000 situs web di seluruh dunia diretas setiap hari.

Saya percaya, lini pertahanan terbaik didirikan dengan pendekatan seimbang, berinvestasi dalam deteksi dan respons insiden, di samping melakukan pencegahan.

Mungkin tampak sulit, untuk berinvestasi pada pencegahan tingkat baru sambil tetap mencoba mengikuti tuntutan deteksi dan respons yang semakin tinggi. Tetapi, menemukan keseimbangan tepat antara kedua upaya tersebut adalah krusial dan bermanfaat. Studi oleh Ponemon Institute dan IBM Security pada tahun 2021 menemukan, bahwa organisasi yang tidak memiliki rencana atau tim respons insiden mengalami peningkatan biaya rata-rata pelanggaran data sebesar 55 persen. Tim keamanan yang dapat menimbang seimbang, antara pencegahan ketat dan strategi yang mencakup respons insiden serta investasi alat remediasi dan deteksi, akan memiliki posisi kuat saat menghadapi kondisi yang tak terhindari.

Kita semua pernah mendengar tentang pengunduran diri besar-besaran. Lebih dari 40 persen tenaga kerja global sedang mempertimbangkan untuk meninggalkan perusahaan mereka tahun ini-dan pemimpin keamanan serta tim mereka sudah lebih dahulu merasa kekurangan staf. Saya sering berbincang dengan CISO mengenai kondisi keseluruhan, dan mampu membayar, menemukan, serta mempertahankan talenta terbaik merupakan salah satu perhatian utama mereka. Dan jika talenta terbaik akhirnya pergi, mereka lantas akan dihadapkan pada pilihan, mencari talenta terbaik yang baru atau meningkatkan keterampilan pada talenta yang tersisa. Teknologi yang lebih efisien, terintegrasi, dan terautomasi dapat membantu, namun sama sekali tidak cukup.

Kata-kata populer terkait keamanan telah menjadi bagian dari bahasa vernakular, karena serangan cyber secara rutin muncul di berita—dan serangan ini (dan berita mengenai serangan tersebut) dapat berdampak besar terhadap perusahaan. Tapi, coba tebak! Ini tidak sepenuhnya berita buruk. Mengingat keamanan cyber sudah menjadi topik akrab di segenap area organisasi, kami mendengar, bahwa konsep “keamanan adalah tugas semua orang” mulai dikumandangkan di seluruh organisasi. Terutama dengan model kerja hibrid baru dan perimeter keamanan yang terdesak lewat berbagai cara baru—pemimpin keamanan semakin mengandalkan cara-cara inovatif untuk menjaga keselamatan semua orang, bahkan ketika mereka menghadapi kesenjangan bakat dan keterampilan. Bukan “melakukan lebih banyak hal dengan lebih sedikit upaya”, tetapi “melakukan lebih banyak hal dengan upaya berbeda”. Inilah inti dari pemimpin keamanan inovatif saat ini.

Meskipun kelangkaan talenta dan keterampilan tentu saja bukan hal positif, ada secercah titik terang—bahwa penciptaan budaya keamanan akan terealisasi. Banyak CISO berkata kepada kami, bahwa salah satu cara paling efektif untuk mengatasi tantangan keamanan di tengah tantangan kepegawaian adalah dengan membangun budaya keamanan di mana keamanan menjadi tugas semua orang. CISO kian sependapat dengan konsep ini, bahwa seluruh organisasi dapat ikut bertanggung jawab terhadap keamanan, terutama ketika mereka menghadapi kelangkaan staf atau tantangan pendanaan.

Tim pengembangan, administrator sistem, dan ya, pengguna akhir, harus memahami kebijakan keamanan yang berhubungan dengan mereka. Berbagi informasi merupakan hal fundamental, dan tim keamanan menemukan semakin banyak cara baru untuk bekerja sama dengan pengembang, administrator, dan pemilik proses bisnis, untuk memahami risiko serta mengembangkan kebijakan dan prosedur yang bermanfaat bagi seluruh organisasi.

Kurangnya talenta dan kesenjangan dalam keterampilan (khususnya dalam profesi keamanan cyber yang terus berubah), membuat CISO mencari cara baru dan inovatif untuk tetap menjadi yang terdepan. Salah satu strategi yang terus kami dengar adalah evolusi “deputasi” karyawan di luar tim keamanan. CISO berupaya untuk memanfaatkan seluruh organisasi, dengan fokus khusus pada pelatihan pengguna akhir untuk menjadikan mereka bagian dari solusi serta memupuk dukungan dari tim yang bersinggungan.

Membangkitkan dan meningkatkan pengetahuan pengguna akhir mengenai ancaman keamanan—seperti memastikan bahwa mereka memahami apa itu pengelabuan dan tanda-tanda serangan samar—ini akan semakin membuka mata dan telinga tim keamanan, khususnya sebagai strategi “ujung tombak”, karena pengguna akhir sering kali menjadi titik masuk serangan. Saya tidak bilang bahwa pengguna akhir dapat dilatih secara ajaib untuk menangkap semuanya. Namun, keberadaan pengguna yang siap dan waspada dapat secara drastis mengurangi beban tim keamanan.

Strategi lainnya adalah deputasi TI sebagai bagian keamanan. Menjaga tim TI agar terhubung erat dengan tim keamanan dan memastikan bahwa TI mendapatkan pengarahan mengenai strategi keamanan—ini akan membantu banyak pemimpin keamanan dalam memperluas misi mereka ke seluruh area organisasi.

Strategi manajemen tugas, dan menyediakan panduan dan bantuan mengenai automasi serta alur kerja proaktif lain—inilah cara fundamental yang CISO gunakan untuk memperluas tim, memanfaatkan TI, dan memastikan terciptanya postur keamanan tangguh.

Semua riset Microsoft yang dikutip menggunakan perusahaan riset independen untuk menghubungi profesional keamanan, baik studi kuantitatif dan kualitatif, memastikan perlindungan privasi dan ketelitian analitis. Kutipan dan penemuan yang disertakan di dalam dokumen ini, kecuali disebutkan spesifik sebaliknya, adalah hasil dari studi riset Microsoft.