Evolusi CISO: bagaimana peran tersebut telah berubah
Di banyak organisasi, Chief Information Security Officer (CISO) berfokus terutama — dan terkadang hampir sepenuhnya — pada keamanan siber. Namun, dengan meningkatnya ancaman canggih dan lingkungan risiko yang terus berkembang, banyak bisnis mulai mengalihkan sebagian besar tanggung jawab ini, dan perluasan peran CISO kini berada di garis depan perubahan tersebut. Menurut Gartner, tekanan regulasi dan meluasnya permukaan serangan akan membuat 45% peran CISO berkembang melampaui keamanan siber pada tahun 2027.
Dengan ruang lingkup tanggung jawab CISO yang berubah begitu cepat, bagaimana peran tersebut akan beradaptasi untuk menghadapi tantangan dunia maya di masa depan?
Apakah tim Anda akan mampu mendeteksi zero-day berikutnya tepat waktu?
Bergabunglah dengan para pemimpin keamanan yang mengandalkan Buletin Think untuk berita yang dikurasi tentang AI, keamanan siber, data, dan otomatisasi. Pelajari dengan cepat dari tutorial pakar dan penjelas—dikirimkan langsung ke kotak masuk Anda. Lihat Pernyataan Privasi IBM®.
Steve Katz menjadi CISO pertama di dunia ketika ia menjabat posisi tersebut di Citicorp/Citigroup pada tahun 1995. Sejak awal perjalanannya sebagai CISO, Katz menyadari bahwa perannya bukan sekadar posisi TI, melainkan fungsi yang melayani bisnis dengan mengurangi risiko. Pada tahun-tahun berikutnya, organisasi lain mulai menambahkan posisi baru ini, dengan CISO yang umumnya melapor kepada CIO dalam struktur organisasi mereka. Sementara banyak CISO memahami hakikat sebenarnya dari peran mereka, organisasi tempat mereka bekerja sering kali belum berada pada pemahaman yang sama.
Seiring waktu, CISO mendapati diri mereka menangani isu-isu yang melampaui batas internal organisasi, seperti membangun kemitraan, bekerja dengan pemasok, dan mengelola transmisi data eksternal. Namun, banyak organisasi masih memandang peran tersebut terutama berada di ranah TI, dengan tanggung jawab utama menjaga bisnis agar tidak menjadi sorotan akibat pelanggaran cybersecurity. Ini berarti bahwa banyak CISO terutama berfokus pada kepatuhan dan manajemen risiko.
Dalam beberapa tahun terakhir, peran CISO telah mengambil perubahan signifikan lainnya dalam menghadapi meningkatnya serangan siber dan meningkatnya risiko gangguan bisnis, denda, dan kerusakan reputasi. Menurut Laporan CISO Splunk, 86% responden mengatakan peran tersebut telah berubah begitu drastis sejak pertama kali mereka menjadi CISO sehingga terasa hampir seperti pekerjaan yang berbeda. Peran ini telah bergeser dari yang awalnya teknis menjadi fungsi yang semakin berperan sebagai pemimpin bisnis.
Alih-alih menerapkan keamanan siber, CISO sekarang fokus membantu para pemimpin organisasi memahami pentingnya keamanan siber dan memimpin pemikiran strategis untuk strategi cyber organisasi. CISO menjembatani kesenjangan antara bahasa teknis yang biasa digunakan di departemen TI dan bahasa bisnis yang dipahami oleh kepemimpinan senior.
Pergeseran ini juga menyebabkan pembentukan kembali struktur organisasi, dengan 47% CISO sekarang melapor langsung ke CEO mereka, menurut laporan Splunk. Dengan memiliki jawaban CISO kepada CEO alih-alih CIO, organisasi menggambarkan pentingnya keamanan siber sebagai prioritas utama. Selain itu, CISO kini memiliki pengaruh lebih besar dengan posisi di meja eksekutif dan, dalam banyak kasus, bahkan di dewan direksi.
Pakar keamanan siber memperdebatkan apakah peran CISO harus fokus pada bisnis atau teknologi. Saat kita pindah maju, jawabannya akan jatuh ke tengah. Lebih dari sebelumnya, CISO yang sukses saat ini harus memiliki perpaduan langka antara ketajaman teknis dan bisnis untuk benar-benar berhasil dalam peran tersebut.
Alih-alih hanya membantu organisasi berbicara bahasa yang sama dalam hal keamanan siber dan risiko, CISO akan mengambil peran kepemimpinan yang lebih besar, memiliki strategi keamanan siber untuk seluruh organisasi. Dengan meningkatnya profil dan tanggung jawab, karyawan lain juga akan menyadari pentingnya keamanan siber dalam organisasi.
Sebagai salah satu peran eksekutif yang relatif baru, hadir hanya dalam beberapa dekade terakhir, posisi CISO telah berkembang pesat sejak pertama kali diperkenalkan oleh Katz. Ketika ancaman semakin canggih dan bisnis makin terdigitalisasi, gangguan akibat serangan keamanan siber kerap memengaruhi hampir setiap aspek perusahaan. Organisasi yang memahami pentingnya keamanan siber dan mengembangkan peran CISO dapat membangun budaya di mana setiap karyawan dan eksekutif memandang keamanan siber sebagai bagian dari tugas mereka.