Berbagai upaya ini dihadapkan pada tingkat kesadaran yang beragam dari organisasi di Indonesia. Bagi perusahaan yang masih dalam tahap “berjuang untuk hidup”, IT GRC dan cybersecurity mungkin belum menjadi prioritas.
“Oleh karena itu, kami tidak bicara begini, ‘untuk bisa aman, Anda harus bayar sistem yang sangat aman, atau sistem yang paling mahal dengan orang yang paling mahal yang bisa Anda bayar’,” jelas Raki.
Upaya peningkatan kesadaran ini dimulai dengan mengingatkan organisasi tentang risiko yang akan mereka hadapi bila terjadi serangan. “Pada saat kita bicara information security, yang paling bahaya adalah kita tidak sadar atau kita tidak tahu kita punya potensi kerugian berapa dari aset kita kalau tidak kita lakukan langkah-langkah pengamanan,” ujarnya.
Menggunakan analogi keamanan rumah, menurut Raki, ia tidak akan memulai dengan pertanyaan tentang asuransi, tapi dengan pertanyaan “apakah rumah kita perlu dikunci?".
“Rumah” kosong mungkin tidak perlu dikunci. “Tapi ketika rumah mulai diisi barang-barang, kita memerlukan kunci. Sekarang, berapa harga barangnya, berapa harga kuncinya? Kalau lebih mahal harga kunci (daripada harga barang), untuk apa kita pasang kunci?” jelas Raki seraya menambahkan bahwa keamanan informasi tidak berarti harus mahal.
Belakangan ini, diakui Raki, upaya meningkatkan awareness ini menjadi semakin mudah dari sebelumnya. Meski hal itu terjadi karena mulai maraknya kasus-kasus serangan siber sehingga banyak pihak mulai menaruh perhatian pada keamanan informasi.
Sepuluh tahun bicara soal keamanan informasi mungkin tidak akan digubris. “Tapi coba lihat saat ini, law firm sekarang giat sekali membicarakan keamanan data. hal ini tidak kita temui di tahun-tahun sebelumnya,“ kata Raki. Bidang-bidang lain yang, menurut Raki, juga mulai bangkit kesadarannya tentang keamanan informasi, seperti layanan kesehatan, transportasi, dan utiliti.
Kemajuan ini tentu menggembirakan bagi Raki dan ISACA, mengingat selama ini ISACA pun tidak selalu bisa menerapkan pendekatan langsung ke perusahaan atau organisasi karena keterbatasan tenaga.
ISACA lebih banyak melakukan pendekatan ke pihak-pihak yang dipandang dapat memberikan dampak lebih besar, misalnya ke forum BUMN.
“Sekarang, seperti kita ketahui, semua BUMN wajib mengimplementasikan IT Governance yang baik termasuk di dalamnya ada information security juga. Jadi BUMN di Indonesia aware, minimal itu harus diimplementasikan. Tentu saja, ini juga didorong oleh peraturan dari Kementerian BUMN,” jelas Raki.
Tiga Hal untuk Kuasai Ilmu Keamanan Informasi
Di sisi suplai, ISACA menjalin kerja sama, di antaranya dengan perguruan tinggi. Saat ini, ada sembilan perguruan tinggi di negeri ini yang berkolaborasi dengan ISACA Indonesia Chapter dalam upaya meningkatkan kompetensi di bidang keamanan informasi sejak dini: Universitas Binus, Universitas Telkom, ITB, Universitas Padjajaran, Universitas Kristen Satya Wacana, Universitas Atma Jaya Yogyakarta, Universitas Multimedia Nusantara, Universitas Parahyangan, dan Universitas Singaperbangsa Karawang.