Sidoarjo, Getindo.com – Perusahaan semakin menghadapi ancaman keamanan siber dan peraturan privasi data, mulai dari cara menangani kecerdasan buatan dan model bahasa besar seperti ChatGPT hingga ketakutan akan peretasan dari kelompok spionase dan aktor jahat. Tetapi eksekutif yang dimiliki banyak perusahaan untuk mengawasi tantangan ini, biasanya kepala petugas keamanan informasi, seringkali tidak memiliki cadangan.
Sekitar 41% perusahaan tidak memiliki rencana suksesi untuk CISO mereka, menurut laporan dari perusahaan perekrutan eksekutif Heidrick & Struggles. Datanya menunjukkan bahwa sekitar tiga perempat CISO mengatakan bahwa mereka sangat atau sepenuhnya terbuka untuk mengubah perusahaan dalam tiga tahun ke depan, menggarisbawahi pentingnya perencanaan suksesi dan peningkatan fokus pada strategi retensi.
“Kami menganggap tidak memiliki rencana suksesi CISO sebagai risiko material serius yang dapat dimitigasi dengan mudah oleh perusahaan,” kata Matt Aiello, mitra dan pemimpin praktik keamanan siber global di Heidrick & Struggles. Temuan ini sangat memprihatinkan, tambahnya, ketika mempertimbangkan betapa pentingnya kepemimpinan dunia maya dalam lingkungan bisnis saat ini.
Risiko Tidak Memiliki Rencana Suksesi Dunia Maya
Penelitian tersebut juga menemukan bahwa ketika organisasi memiliki rencana suksesi biasanya hanya mencakup satu orang, dan orang tersebut kemungkinan besar tidak memenuhi syarat, kata Aiello. Itu karena sebagian besar CISO mempekerjakan “pemain posisi” di tim mereka, seperti ahli dalam operasi keamanan, keamanan aplikasi, atau kepatuhan, belum tentu pemimpin masa depan.
“Organisasi yang tidak memiliki rencana suksesi membuat bisnis mereka rentan terhadap risiko yang tidak semestinya, karena lanskap ancaman dan lingkungan peraturan terus berkembang dengan cepat,” kata Aiello. “Jika peran CISO kosong karena alasan apa pun, hasilnya dapat menyebabkan konsekuensi bisnis yang serius.”
Selain itu, peran CISO sangat sulit untuk digantikan. “Kami menemukan ada kendala dalam pelatihan dan pengembangan kandidat internal di semua bidang yang diperlukan tanpa mengorbankan pekerjaan sehari-hari mereka,” kata Aiello. “Hal ini memudahkan organisasi untuk mencari sumber CISO berikutnya secara eksternal. Namun, proses itu masih membutuhkan sumber daya yang signifikan — termasuk waktu, uang, dan upaya — mengingat betapa terbatasnya kumpulan bakat.”
Tanpa rencana suksesi yang jelas untuk pemimpin keamanan siber mereka, organisasi membiarkan diri mereka terpapar ancaman dan risiko siber yang signifikan, dan sangat tidak siap untuk menghadapi dampaknya, kata Aiello. “Dengan kecepatan perkembangan pasar dan teknologi, kepemimpinan harus mempertimbangkan suksesi CISO mereka sama seriusnya dengan CEO mereka,” katanya.
Dengan kepergian CISO, ada hilangnya pengetahuan institusional yang berharga, yang dapat menghambat kemampuan organisasi untuk beradaptasi dengan ancaman dunia maya yang berkembang pesat, kata Daniel Soo, kepala penasehat risiko dan keuangan di dunia maya dan risiko strategis di perusahaan konsultan Deloitte.
“Kurangnya penerus dapat mengganggu operasi keamanan siber business-as-usual, mengakibatkan penundaan, kesenjangan dalam aktivitas manajemen risiko siber yang penting, dan menghambat respons insiden siber dan pengambilan keputusan,” kata Soo.
Selain itu, perencanaan suksesi CISO adalah kunci untuk memastikan bahwa suatu organisasi memiliki orang yang tepat pada waktu yang tepat untuk membantu mendorong tujuan dunia maya organisasi, kata Soo. “Kurangnya perencanaan suksesi yang tepat dapat mengakibatkan gangguan di seluruh organisasi,” katanya.
Ini dapat mencakup misalignment potensi sumber daya, erosi kepercayaan karyawan dan pemangku kepentingan, penurunan budaya organisasi, dan kehilangan waktu untuk mencapai tujuan strategis, kata Soo.
Bagaimana Mengembangkan Pipeline CISO Potensial Yang Kuat
Sangat penting bagi organisasi untuk memulai perencanaan suksesi segera setelah CISO baru ada, kata Soo. “Perencanaan juga harus melibatkan kepemimpinan di seluruh organisasi serta keterlibatan dewan,” katanya. “Hal ini memungkinkan analisis menyeluruh atas prioritas dan risiko saat ini, yang dapat membantu menetapkan dasar bagi CISO baru di beberapa bidang termasuk bakat dan sumber daya.”
Perencanaan suksesi CISO juga harus melibatkan antisipasi persyaratan keamanan di masa mendatang dengan mempertimbangkan sifat lanskap bisnis dan teknologi yang berkembang. “CISO harus menganalisis implikasi keamanan dari tren ini dan mengembangkan kebijakan, teknologi, dan keterampilan untuk memenuhi kebutuhan di masa mendatang,” katanya. “Menerapkan program pelatihan dapat membantu memastikan bahwa karyawan dilengkapi dengan keterampilan yang diperlukan untuk mengatasi tantangan keamanan yang akan datang.”
Mayoritas CISO berpendapat bahwa risiko dunia maya saat ini akan berbeda lima tahun dari sekarang, menurut studi Heidrick & Struggles. “Ini berarti penerus yang ideal harus ditentukan dalam konteks apa yang perlu dilakukan CISO di masa depan — bukan apa yang mereka lakukan hari ini,” kata Aiello. Panitia seleksi harus melakukan uji tuntas dan menganalisis kumpulan bakat baik di dalam maupun di luar organisasi, tambahnya.
Bagian penting dari setiap rencana suksesi adalah membangun saluran penerus potensial yang kuat untuk membantu melindungi organisasi dari risiko, sekarang, dalam waktu dekat dan dalam jangka panjang. “Dengan kata lain, mempersiapkan tidak hanya untuk suksesi ini tetapi banyak suksesi yang akan datang,” kata Aiello. “Itu membutuhkan komitmen untuk membangun proses suksesi secara teratur, termasuk menemukan peluang dan jalur berkelanjutan untuk pengembangan tenaga kerja siber internal.”
Selain itu, organisasi harus memelihara dokumentasi yang menguraikan tanggung jawab dan tugas utama untuk setiap fungsi keamanan termasuk CISO, kata Soo. “Ini dapat membantu organisasi mempertimbangkan seperti apa tanggung jawab peran CISO saat ini dan di masa depan,” katanya.
Sumber:
