- Peran AI dalam mencegah peretasan menjadi bagian yang lebih besar dalam anggaran keamanan siber, terutama karena semakin banyak aktivitas kecerdasan buatan perusahaan yang diluncurkan di lingkungan cloud-native.
- Total biaya rata-rata pelanggaran data pada tahun 2023 adalah $4,45 juta, melonjak 15,3% dari tahun 2020, menurut IBM.
- CISO dapat memanfaatkan teknologi AI untuk meningkatkan pengeluaran pada tahun 2024 dan mempercepat proyek yang ingin mereka selesaikan, tetapi dengan AI generatif, terdapat juga risiko penyalahgunaan data sensitif oleh karyawan.
Sidoarjo, Getindo.com – Perlindungan pada keamanan siber memerlukan biaya yang besar. Total biaya rata-rata akibat pelanggaran data pada tahun 2023 adalah $4,45 juta, melonjak 15,3% dari tahun 2020, menurut IBM, dan sebagai dampaknya, lebih dari separuh organisasi berencana untuk meningkatkan pengeluaran keamanan siber.
Namun beberapa ahli mengatakan bahwa lebih banyak tidak selalu lebih baik. AI terbaru juga menghadirkan risiko internal berupa penyalahgunaan data yang merugikan terkait dengan informasi sensitif yang mungkin dimasukkan oleh karyawan ke dalam model bahasa besar sistem kecerdasan buatan generatif. Dan terdapat risiko ketika AI mempercepat pengembangan perangkat lunak, iterasi baru akan diluncurkan dengan sangat cepat sehingga kekurangannya mungkin terlewatkan.
Bagaimanapun, pendekatan terhadap anggaran keamanan siber terus berubah, dan dampak AI terhadap pelanggaran data dan penggunaan serta penyalahgunaan oleh karyawan, memainkan peran yang besar.
“Kami telah melihat pembelajaran mesin, yang merupakan bagian dari AI, menawarkan beberapa nilai nyata dalam deteksi penipuan, analisis insiden, dan analisis kerentanan,” kata Mike Scott, CISO dari Immuta, yang menangani keamanan data untuk perusahaan seperti Mercedes-Benz dan ADP. Scott, mantan CISO Wendy’s, menambahkan, “Aktor jahat memiliki akses yang sama. Mereka dapat mempercepat serangan mereka dengan cara yang sama seperti kami mencoba mempercepat penyelesaiannya.”
Ketika organisasi mengambil keputusan anggaran keamanan siber di tengah perencanaan tahun fiskal 2024, AI akan semakin besar, dan ketika perusahaan melanjutkan migrasi mereka ke cloud, CISO, CIO, dan pendukung keamanan siber lainnya dalam suatu organisasi harus mengetahui cara membuktikan nilai dari inisiatif mereka yang semakin penting agar dapat bertahan. cukup langkah ke depan.
Kurangi Kepanikan, Lebih Banyak Kesiapsiagaan
Para ahli memandang migrasi cloud dan AI sebagai dua ancaman terbesar terhadap keamanan siber suatu organisasi saat ini.
Andrew Casey, CFO perusahaan keamanan cloud Lacework, mengatakan bahwa migrasi cloud hemat biaya dan alur kerja, namun perubahan di cloud terjadi dalam hitungan mikrodetik. “Setiap perusahaan harus memperhatikan seberapa baik mereka melindungi aset dan informasi mereka saat beralih ke cloud,” kata Casey. “Ini menimbulkan serangkaian risiko keamanan yang benar-benar baru.”
Casey juga menyadari bahwa pengembang membuat perangkat lunak lebih cepat dengan AI. “Jika kami mengembangkan perangkat lunak lebih cepat, kami memperkenalkan kerentanan lebih cepat. Jika kami memperkenalkan kerentanan lebih cepat, Anda akan lebih mampu menangkap kerentanan tersebut saat terjadi,” katanya.
Sementara itu, Scott mengatakan risiko penyalahgunaan data berbeda dengan pelanggaran data karena dalam pelanggaran baik kerentanan maupun pelakunya dimulai dari dalam. Dengan pelanggaran data, perusahaan dapat menggunakan asuransi mereka, namun “jika mereka menyalahgunakan data, mereka melanggar banyak kontrak, dan mungkin melanggar hukum,” dia memperingatkan. Kebijakan seputar penggunaan AI generatif dapat memitigasi hal ini, namun blokade dunia maya juga merupakan kuncinya.
Scott mengatakan bahwa AI suatu perusahaan mungkin merupakan teknologi baru pertama yang mengutamakan cloud, mengingat lambatnya laju migrasi cloud untuk organisasi besar. Hal ini menggabungkan dua risiko, yang menunjukkan bahwa para pemimpin dunia maya harus mengambil pendekatan yang berbeda-beda untuk bergerak maju.
Ketika membahas anggaran, penting untuk diketahui bahwa CFO tidak hanya berfokus pada perlindungan, namun juga pertumbuhan. “Jika saya terus mengembangkan bisnis saya, maka saya harus memiliki mitra perangkat lunak yang memungkinkan saya mendapatkan penurunan biaya dibandingkan dengan pendapatan yang saya peroleh,” kata Casey.
Percakapan anggaran untuk tahun 2024 kemungkinan besar akan berbeda dalam satu hal utama, kata para ahli: berkurangnya kepanikan, lebih banyak kesiapan. Dari sudut pandang CFO, Casey memperkirakan lebih sedikit fokus jangka pendek dan lebih fokus pada jangka panjang.
Hal ini dapat menjadi kabar baik bagi CISO yang ingin mendorong proyek keamanan siber dalam jangka waktu beberapa tahun ke depan.
“Saya pikir CISO dapat memanfaatkan perkembangan AI dan mempercepat beberapa proyek yang ingin mereka lakukan,” kata Scott. “Jika kami ingin menerapkan AI pada tahun 2025, seperti prediksi para ahli, dan kami ingin mulai benar-benar terjun ke dalamnya, ini adalah tahun yang penting bagi kami untuk membangun semua kontrol yang tepat dan menyiapkan infrastruktur dasar kami untuk digunakan.”
Mempresentasikan Investasi Keamanan Siber Kepada CFO
Meskipun para CFO memahami bahwa dana harus disalurkan untuk upaya keamanan siber, para pakar teknologilah yang membantu mereka mengalokasikan dana tersebut.
“Kami menginginkan pembenaran yang baik mengapa kami perlu mengeluarkan uang dan di mana,” kata Diesha Cooper, pendiri platform perjodohan eksekutif Execuly, dan seorang CFO.
Dari sudut pandang Casey, para eksekutif keamanan siber harus membuktikan bahwa investasi yang ingin mereka lakukan selaras dengan tujuan strategis perusahaan. Hal ini dapat berupa pemotongan biaya perizinan, peningkatan produktivitas, atau peningkatan efektivitas tim.
Jika para pemimpin dunia maya dapat mewujudkan konsolidasi vendor, kata Casey, maka semuanya akan lebih baik. Dia baru-baru ini berbicara dengan bank komersial besar yang memiliki lebih dari 500 teknologi keamanan berbeda tetapi merasa tidak lebih aman. “Semakin banyak CFO seperti saya yang bertanya, apakah kami benar-benar mendapatkan keuntungan yang kami harapkan dan adakah peluang bagi kami untuk mengkonsolidasikan alat-alat tersebut ke dalam satu vendor?” kata Casey.
Scott sudah lama mengetahui bahwa penjualan adalah bagian dari pekerjaannya sebagai CISO. Daripada hanya berfokus pada risiko tidak dilaksanakannya investasi yang diusulkan, Scott menyarankan CISO untuk mengaitkan inisiatif mereka dengan apa yang ingin dicapai perusahaan. Selain itu, Scott selalu memiliki setidaknya dua opsi, meskipun kedua opsi tersebut sekadar berhasil atau tidak. Memiliki jalan tengah, katanya, bahkan lebih baik.
“Jika Anda menggerakkan jarumnya sedikit saja, Anda masih mengalami kemajuan,” kata Scott. “Kemudian mungkin Anda terus membangun kasus penggunaan untuk proyek yang lebih besar seiring berjalannya waktu,” tambahnya.
Cooper dipengaruhi oleh fakta bahwa pelatihan karyawan merupakan mitigator biaya paling efektif kedua untuk pelanggaran data, dengan memangkas biaya rata-rata sebesar $232.867, menurut IBM, nomor dua setelah DevSecOps. Itu sebabnya dia mengatakan salah satu cara perusahaan dapat menganggarkan secara efektif adalah dengan melakukan pelatihan untuk tim mereka. Hal ini terutama berlaku bagi kontraktor pemerintah yang diharuskan untuk memenuhi tingkat pelatihan keamanan siber yang semakin ketat untuk menepati kontrak mereka.
Mungkin yang paling penting, Scott mengatakan dia mencoba menghilangkan bias sebelum memasuki pembicaraan penganggaran. “Dengan benar-benar berfokus pada ROI secara keseluruhan, saya memasuki pertemuan tanpa memihak,” katanya. “Eksekutif lain memahami hal itu, dan mereka menghargai transparansi.” Scott mengatakan, hal inilah yang membangun kepercayaan antara pendukung keuangan dan pendukung teknologi dalam organisasi.
Sumber:
