Study Kaspersky mengungkapkan sepertiga eksekutif C-level (37%) berjuang keras untuk menyamakan pemahaman mengenai adopsi solusi keamanan baru dengan rekan TI atau keamanan TI mereka. Namun, peningkatan anggaran untuk keamanan siber adalah topik terberat untuk didiskusikan dengan manajemen non-IT.
Menurut polling, mayoritas pekerja TI mengatakan bahwa alasan utama penurunan anggaran keamanan siber adalah karena manajemen puncak tidak melihat alasan untuk berinvestasi banyak di bidang ini.
Kaspersky melakukan survei khusus untuk mengeksplorasi apakah situasi ini mungkin merupakan hasil dari komunikasi yang tidak jelas antara staf keamanan TI dan eksekutif, dan untuk mengetahui apakah ada kurangnya saling pengertian antara kedua divisi perusahaan ini.
Studi ini mengungkapkan bahwa, sementara lebih dari setengah manajer puncak di Asia Tenggara (60%) berpendapat bahwa karyawan keamanan TI harus mengomunikasikan risiko dunia maya dengan lebih baik ke bisnis, dan hanya 6% pekerja keamanan siber dari wilayah tersebut mengakui bahwa mereka mengalami kesulitan dalam menjelaskan pekerjaan mereka kepada kolega dan eksekutif non-TI.
“Ada kesenjangan komunikasi yang jelas antara pembuat keputusan perusahaan – eksekutif C-Level non-IT – dan tim keamanan teknis yang bertanggung jawab atas postur keamanan siber perusahaan. Hal ini mengkhawatirkan karena studi yang sama menunjukkan miskomunikasi antara kedua kelompok memiliki dampak negatif seperti keterlambatan proyek yang kritikal (67%), satu atau lebih insiden keamanan siber (66%), dan pemborosan anggaran (60%),” kata Chris Connell, Managing Director untuk Asia Pasifik di Kaspersky.
Pekerja TI dan non-TI di Asia Tenggara juga berbeda dalam topik yang paling rumit untuk diperdebatkan. Tiga hal tersulit eksekutif C-Level untuk dibicarakan dengan staf TI adalah: mengadopsi solusi keamanan baru (37%), kepatuhan terhadap peraturan keamanan (37%), dan perubahan pada kebijakan keamanan siber (33%).
Bagi pekerja TI, tiga tema terberat untuk didiskusikan dengan eksekutif non-TI adalah kebutuhan untuk meningkatkan anggaran keamanan TI (55%), memperluas tim keamanan TI (54%), dan meningkatkan kesadaran keamanan siber di kalangan karyawan (52%). Dalam hal menemukan solusi, mayoritas responden dari Asia Tenggara setuju bahwa cara paling efisien untuk memfasilitasi diskusi tentang masalah keamanan TI adalah dengan memilih contoh kehidupan nyata dan menggunakan laporan serta angka.
Selain topik ini, eksekutif C-Level di sini juga mengatakan bahwa mengutip referensi pendapat otoritatif (49%) akan memungkinkan mereka untuk lebih memahami staf keamanan TI mereka. Sebaliknya, tim TI percaya bahwa cerita keamanan siber (52%) akan membantu mereka berkomunikasi lebih baik dengan para eksekutif.
“Dapat diasumsikan bahwa eksekutif non-TI berjuang untuk membahas penerapan solusi keamanan siber baru karena banyaknya istilah dan konsep teknis yang rumit yang sering digunakan oleh staf keamanan TI. Namun, kesulitan pembahasan mengenai peningkatan anggaran karena eksekutif C-Level mengharapkan staff TI menggunakan metrik bisnis untuk membenarkan kebutuhan mereka,” kata Ivan Vassunov, VP, Corporate Products, Kaspersky.
“Saat ini, dalam lingkungan ekonomi yang sulit dan lanskap ancaman yang rumit, saling pengertian antara pemilik bisnis dan orang-orang keamanan TI menjadi lebih penting untuk kelangsungan bisnis daripada sebelumnya. Untuk menghindari risiko keamanan siber tambahan, penting bagi kedua tim untuk mengetahui cara berbicara dalam bahasa yang sama berdasarkan angka, referensi yang andal, dan argumen yang dapat dipahami.” Tambahnya.
Untuk membuat komunikasi antara keamanan TI dan fungsi bisnis dalam perusahaan menjadi lebih transparan, Kaspersky merekomendasikan hal berikut:
• Mengalokasikan investasi keamanan siber ke dalam alat yang terbukti efektif dan menghadirkan konsep keamanan baru (termasuk SASE, XDR, dan Zero Trust) kepada direksi sebagai proyek investasi atau bahkan kasus bisnis dengan ROI yang diperhitungkan. Misalnya, dalam kasus penerapan XDR (Extended Detection and Response) dan SASE (Secure Access Service Edge), penting untuk menyampaikan bahwa teknologi ini memungkinkan pengurangan beban tim keamanan TI, sekaligus meningkatkan postur keamanan siber perusahaan karena sentralisasi dan otomatisasi proses.
• Gunakan sumber daya, seperti IT Security Calculator dan laporan berdasarkan pengamatan para ahli yang berisi informasi terstruktur tentang ancaman dan tindakan keamanan yang paling relevan dengan industri khusus Anda dan ukuran perusahaan untuk memverifikasi kemungkinan risiko dan tindakan perlindungan yang diperlukan.
• Memperoleh pengetahuan tambahan untuk lebih memahami para profesional dari bidang lain. Sementara dasar-dasar bisnis dapat diperoleh dari kursus pelatihan, eksekutif non-TI memiliki kesempatan untuk berjalan di posisi CISO untuk mendapatkan wawasan mengenai tantangan keamanan TI yang paling relevan.