Pelaku kejahatan masa kini semakin kejam dan bermusuhan. Dengan lanskap ancaman yang terus berkembang, memerangi serangan yang semakin canggih memerlukan perubahan fokus dari alat ke budaya. Seiring meningkatnya skema rekayasa sosial dan ancaman yang digerakkan oleh AI, semakin jelas bahwa pertahanan siber yang modern dan sukses memerlukan pendekatan yang komprehensif dan holistik — pendekatan yang memperhitungkan prinsip-prinsip teknologi di samping kesadaran dan perilaku manusia.
Ketahanan siber tidak dapat lagi dicapai hanya dengan menerapkan alat atau langkah keamanan baru. Ketahanan siber dimulai dengan membangun budaya ketahanan yang bergantung pada peningkatan kewaspadaan dan skeptisisme. Perlu ada pendekatan proaktif terhadap keamanan yang menghilangkan kebutuhan untuk “terlalu percaya” atas nama hasil dan produktivitas.
Inti dari transformasi budaya ini adalah konsep “zero trust”, praktik terbaik keamanan siber yang didasarkan pada prinsip hak istimewa paling rendah dan asumsi pelanggaran. Singkatnya, zero trust adalah kerangka kerja yang didasarkan pada gagasan “jangan pernah percaya, selalu verifikasi.” Dan meskipun kepercayaan mungkin merupakan emosi manusia, dengan latar belakang lanskap ancaman saat ini, tidak ada tempat untuknya di dunia digital.
Perubahan pola pikir yang sangat dibutuhkan
Strategi keamanan yang tangguh bukan hanya tentang alat — tetapi juga tentang pola pikir kolektif individu. Pada saat ini, ketahanan siber tidak dapat dicapai atas perintah CISO atau tim SecOps saja. Hal ini memerlukan dukungan dari seluruh organisasi, dari TI hingga SDM, dari akuntansi hingga C-suite. Pola pikir memengaruhi alat yang diadopsi organisasi dan cara pengambilan keputusan. Di era di mana kepercayaan mudah dieksploitasi dan permukaan serangan terus meluas, individu harus mengadopsi pola pikir yang lebih skeptis dan waspada. Siapa pun yang gagal melakukannya menciptakan cacat keamanan yang dapat dieksploitasi oleh pelaku kejahatan.
Nyatanya, Laporan Insiden Pelanggaran Data Verizon Tahun 2023 menemukan bahwa 19% pelanggaran data berasal dari pelaku internal, yang menyebabkan kerugian baik yang disengaja maupun tidak disengaja melalui penyalahgunaan dan kesalahan manusia. Ditambah lagi, pelaku jahat berhasil memanfaatkan hubungan tepercaya untuk memanfaatkan hiperkonektivitas rantai pasokan perangkat lunak. Menurut CrowdStrike Laporan Ancaman Global 2024“Para penyerang memaksimalkan laba atas investasi (ROI) mereka dengan menargetkan hubungan vendor-klien, menciptakan satu titik akses untuk menargetkan beberapa organisasi di seluruh vertikal dan wilayah. Dengan memanfaatkan akses ke vendor TI dan membahayakan rantai pasokan perangkat lunak, mereka menggunakan perangkat lunak tepercaya untuk menyebarkan alat berbahaya.”
Di dunia saat ini, organisasi dan individu harus mendekati pertanyaan dan koneksi dengan pandangan kritis. Namun, meskipun organisasi telah berupaya sebaik mungkin, kenyataannya adalah bahwa pada suatu saat pasti ada satu pelaku jahat yang membobol dan menembus pertahanan perimeter atau melewati hubungan tepercaya. Sementara pencegahan ancaman merupakan elemen penting yang harus diprioritaskan, mengurangi dampak pelanggaran harus diutamakan. Zero trust mengamanatkan perubahan paradigma — yang mengharuskan keberangkatan dari model keamanan berbasis perimeter tradisional menuju pendekatan yang lebih terperinci dan berpusat pada identitas.
Mengadopsi zero trust tidak hanya berarti menerapkan alat dan perlindungan teknologi canggih, tetapi juga menumbuhkan pola pikir skeptisisme dan validasi berkelanjutan — yaitu secara teratur mempraktikkan “asumsi pelanggaran.” Ini melibatkan pengembangan standar tempat kerja di mana mempertanyakan integritas sistem, solusi, dan data menjadi hal yang wajar, dan di mana setiap karyawan memikul tanggung jawab untuk melindungi diri dari potensi ancaman.
Tentu saja, organisasi harus memupuk lingkungan pembelajaran berkelanjutan (terutama karena ancaman berkembang pesat) dan menawarkan kesempatan kepada karyawan untuk berpartisipasi dalam pengujian, lokakarya, dan rencana respons insiden. Sementara karyawan harus mempraktikkan uji tuntas, organisasi dan pemimpin bisnis harus memastikan bahwa mereka menyediakan sumber daya dan peluang pembelajaran yang dibutuhkan tenaga kerja untuk mempraktikkan apa yang telah mereka pelajari secara efektif.
Apa yang selanjutnya bagi para pemimpin bisnis?
Jadi, bagaimana para pemimpin bisnis dapat memastikan karyawan mereka menjadi pengguna teknologi yang lebih cerdas? Meski terdengar klise, jawabannya adalah melalui komunikasi yang lebih baik. Untuk membangun budaya yang sejalan dengan prinsip-prinsip kepercayaan nolsemua anggota organisasi harus memahami mengapa mereka harus berhati-hati dalam mempercayai komunikasi secara otomatis dan beratnya kepercayaan yang salah tempat, yang merupakan sesuatu yang harus dikomunikasikan dari atas ke bawah. Ini mencakup penyediaan program pelatihan yang komprehensif, memperkuat pentingnya protokol keamanan siber, dan menumbuhkan budaya komunikasi terbuka di mana masalah keamanan ditangani secara transparan dan segera.
Para pemimpin bisnis tidak bisa hanya mengharapkan CIO dan CISO mereka untuk memikul tanggung jawab ini. Mereka sendiri harus memberi contoh kepercayaan nol
pola pikir, menunjukkan komitmen terhadap praktik terbaik keamanan siber, dan berpartisipasi aktif dalam berbagai inisiatif untuk meningkatkan literasi siber dan ketahanan organisasi. Dengan memprioritaskan keamanan siber sebagai keharusan strategis dan menanamkannya dalam budaya organisasi, bisnis dapat memperkuat pertahanan mereka terhadap ancaman yang terus berkembang dan mengurangi risiko pelanggaran yang merugikan. Meskipun budaya tanpa kepercayaan tidak dapat dibangun dalam semalam, penting untuk memulai dari suatu tempat.
Singkatnya, lanskap ancaman yang semakin canggih saat ini menuntut pendekatan yang lebih holistik terhadap ketahanan yang melampaui solusi teknologi. Alat keamanan baru akan memasuki industri keamanan siber, tentu saja, tetapi seiring munculnya teknologi baru dan semakin banyak koneksi yang dibuat, akan menjadi lebih penting bagi individu untuk menjadi pengguna yang cerdas — mempertanyakan dan mempertimbangkan sebelum menyerahkan kunci istana TI yang metaforis. Meskipun pelanggaran memang terjadi, dengan menumbuhkan budaya yang berakar pada prinsip-prinsip kepercayaan nolorganisasi akan lebih mampu memperkuat pertahanan mereka dan beradaptasi dengan lanskap ancaman yang terus berubah dengan percaya diri — percaya bahwa orang-orang mereka bukanlah hambatan dalam perjalanan ketahanan siber mereka, tetapi justru menjadi pendorong strategis. Memang butuh waktu, tetapi ini merupakan investasi penting yang harus dilakukan.
