Keamanan Siber: Ancaman Senyap dari Ketidakterlibatan Manajemen Puncak

BACA JUGA: JMSI Sulsel Dilantik, Ilham Husen Siap Perkuat Peran Media Siber di Era Disrupsi

Satu indikator yang cukup relevan untuk melihat risiko false negative adalah Dwell-time. Dalam laporan Verizon DBIR 2025, disebutkan bahwa median dwell time pada breach non actor disclosed terjadi sekitar 24 hari. Dua puluh empat hari, yang untuk sebagian orang mungkin tidak terlalu berharga. Nyatanya, 24 hari dapat memberi kesempatan kepada si pelaku untuk melakukan reconnaissance sistem, credential theft, dan berpotensi untuk melakukan serangan di titik yang paling strategis untuk merusak. Waktu 24 hari cukup untuk menjelaskan “silent threat”. Bukan karena tidak ada tanda, tetapi karena organisasi tidak terbiasa untuk melihat, atau tidak diberi ruang untuk mengekspresikannya. Akhirnya, hal ini dikembalikan kepada faktor kepemimpinan, apakah meminta sebuah metrik yang jujur atau hanya sesuai dengan lembar audit?

Laporan yang dituliskan Verizon pada Data Breach Invetigations Report (DBIR) 2021, melaporkan pendekatan budaya keamanan berbasis perilaku (level leadership–group–individual) yang selama dua tahun membuat adopsi password manager naik 3x dan phishing susceptibility turun menjadi setengah, diukur dari simulasi phishing yang dikaitkan dengan observasi Security Operations Center (SOC) mereka. Sementara pada catatan Proofpoint, Royal Bank of Scotland melaporkan penurunan kerentanan terhadap phishing lebih dari 78% melalui program peningkatan security awareness. Menariknya, program itu dianggap efektif ketika risiko diterjemahkan menjadi sebuah kerugian finansial untuk dapat didengarkan oleh pihak manajemen. Di Ferrari Group, data studi kasus menunjukkan bahwa Phish-Prone Percentage (PPP) turun dari 31,3% menjadi 11,4%, pelaporan email mencurigakan meningkat 10 kali (1,3% → 14,2%). Terakhir, SIG plc, sebuah perusahaan distributor grosir bahan bangunan terkemuka di Eropa, melaporkan penurunan risiko phishing dari 32% menjadi 7%. Hal ini menunjukkan bahwa, kepemimpinan yang efektif dan terlibat langsung pada penerapan IT governance, dapat menurunkan prosentase serangan siber yang berhasil. 

Untuk menekan risiko terjadinya false negative keamanan informasi di Indonesia, bukan hanya menambah tools, tetapi juga penguatan pada sisi IT Leadership. Pemerintah dan organisasi perlu menetapkan tata kelola risiko siber di level pimpinan (target, akuntabilitas, dan pelaporan rutin), memperkuat ketahanan layanan publik kritikal melalui arsitektur yang redundan serta uji pemulihan (backup-restore dan disaster recovery) yang disiplin, dan memastikan visibilitas operasional lewat logging menyeluruh, pemantauan terpadu, serta prosedur eskalasi insiden yang jelas. Standar minimum seperti pengendalian privilledge access, manajemen, dan pengendalian kerentanan berbasis risiko, serta kontrol pihak ketiga harus ditegakkan. Sementara itu, budaya pelaporan insiden, termasuk pegawai sebagai "sensor", perlu dilindungi, bukan dihukum. Tanpa langkah-langkah ini, laporan bisa terlihat hijau di lembar audit, tetapi ancaman senyap akan tetap punya ruang untuk bersembunyi. (*)

*) Dosen Prodi Sistem Informasi, Fakultas Teknik, Universitas Trunodjoyo Madura dan Mahasiswa S3 Sistem Informasi, Fakultas Teknologi Elektro dan Informatika Cerdas, Institut Teknologi Sepuluh Nopember Surabaya.

**)Dosen Jurusan Sistem Informasi, Fakultas Teknologi Elektro dan Informatika Cerdas, Institut Teknologi Sepuluh Nopember Surabaya.

 

Sumber: