Masalah Keamanan Siber Kita Bukan Soal Teknologi
Cybersecurity.or.id - Dalam lima menit pertama sebuah percakapan, sering kali sudah bisa ditebak apakah seorang Chief Information Security Officer (CISO) akan berhasil menjalankan tugasnya—atau justru sedang berjalan menuju kegagalan. Bukan karena kurang kompeten, melainkan karena desain organisasi tempat ia bekerja sejak awal sudah membuatnya tak berdaya.
Selama bertahun-tahun, narasi publik tentang kegagalan keamanan siber hampir selalu diarahkan pada hal yang sama: kurangnya alat, lemahnya sistem, atau kelalaian teknis. Padahal, di balik hampir setiap insiden besar, ada persoalan yang jauh lebih mendasar: keamanan siber ditempatkan pada struktur kekuasaan yang salah.
Di Indonesia, persoalan ini terasa semakin relevan. Dalam beberapa tahun terakhir, kebocoran data menimpa berbagai sektor—mulai dari layanan publik, BUMN strategis, hingga perusahaan swasta besar. Namun, pertanyaan kuncinya jarang diajukan: apakah peran CISO di organisasi-organisasi tersebut memang diberi ruang untuk mencegah risiko sejak awal?
Ketika CISO Berada di Bawah CIO
Salah satu indikator paling awal dari kegagalan yang hampir pasti adalah kepada siapa CISO melapor. Di banyak organisasi—termasuk BUMN dan institusi pemerintah—fungsi keamanan siber masih ditempatkan di bawah Chief Information Officer (CIO) atau direktorat teknologi informasi.
Struktur ini menyimpan konflik kepentingan yang nyata. CIO dinilai dari kelancaran layanan, kecepatan transformasi digital, dan efisiensi biaya. Sebaliknya, CISO bertugas mengelola risiko, memperlambat proses jika perlu, dan—dalam kondisi tertentu—mengatakan “tidak”.
Ketika satu pihak harus menjaga stabilitas layanan, sementara pihak lain harus melaporkan potensi kebocoran, siapa yang akan didahulukan? Dalam banyak kasus, keamanan menjadi kompromi yang tak pernah menang.
Di negara-negara dengan tata kelola siber matang, CISO idealnya melapor langsung ke CEO, dewan direksi, atau komite risiko, bukan ke unit operasional IT.
Terjebak dalam Mode Pemadam Kebakaran
Masalah kedua adalah beban kerja yang sepenuhnya reaktif. Banyak CISO di Indonesia menghabiskan sebagian besar waktunya untuk:
- Menangani insiden,
- Menjawab audit kepatuhan,
- Menyusun laporan pascakejadian,
- Menghadapi tekanan publik setelah kebocoran terjadi.
Dalam kondisi seperti ini, hampir tidak ada ruang untuk berpikir strategis: membangun arsitektur keamanan jangka panjang, menata ulang tata kelola identitas, atau mengaitkan risiko siber dengan strategi bisnis.
CISO yang terus-menerus berada dalam mode krisis sejatinya sedang menunggu kegagalan berikutnya.
Masalah Klasik: Identitas Tanpa Pemilik
Hampir semua insiden modern berakar pada satu isu yang sama: identitas dan akses. Namun ironisnya, di banyak organisasi besar Indonesia, Identity and Access Management (IAM) tidak pernah benar-benar dimiliki secara end-to-end.
Akses tersebar di berbagai aplikasi, sistem warisan (legacy), dan layanan cloud. Tidak ada satu otoritas yang benar-benar berwenang mengatakan siapa boleh mengakses apa, sampai kapan, dan dengan tingkat hak seperti apa.
Dalam situasi ini, CISO hanya menutup kebocoran kecil sementara sumber airnya terus mengalir. Keamanan menjadi ilusi administratif, bukan kontrol nyata.
Tanpa Kendali Anggaran, Tanpa Daya Tawar
Persoalan lain yang tak kalah krusial adalah anggaran. Di banyak BUMN dan perusahaan swasta nasional, keamanan siber masih diperlakukan sebagai cost center, bukan fungsi manajemen risiko.
Akibatnya, CISO:
- Harus “mengemis” anggaran ke unit lain,
- Kalah prioritas dibanding proyek ekspansi atau pemasaran,
- Baru mendapat dana setelah insiden terjadi.
Tanpa otonomi anggaran, keamanan siber selalu kalah cepat dari target bisnis jangka pendek.
Didengar Setelah Insiden, Bukan Sebelum Keputusan
Red flag terakhir—dan mungkin yang paling berbahaya—adalah ketika CISO baru diundang ke ruang direksi setelah terjadi kebocoran data.
Jika risiko siber tidak dibahas saat:
- Ekspansi layanan digital,
- Akuisisi perusahaan,
- Integrasi sistem baru,
- Pemanfaatan data besar-besaran,
maka kegagalan bukan lagi soal “jika”, melainkan “kapan”.
CISO yang hanya muncul saat krisis sejatinya bukan pengambil keputusan, melainkan pemadam kebakaran institusional.
Masalah Tata Kelola, Bukan Alat
Kesimpulan dari berbagai kegagalan ini sederhana namun tidak nyaman: CISO tidak gagal di Security Operations Center (SOC), mereka gagal di ruang rapat direksi.
Masalah utama keamanan siber di Indonesia bukan kekurangan teknologi, melainkan:
- Kurangnya kekuasaan struktural,
- Tidak jelasnya mandat,
- Lemahnya posisi keamanan dalam pengambilan keputusan bisnis.
Selama CISO tidak diberi kewenangan untuk mengatakan “tidak” pada keputusan yang mengundang risiko besar, maka insiden akan terus berulang—apa pun alat yang digunakan.
Keamanan siber, pada akhirnya, adalah persoalan kepemimpinan dan tata kelola, bukan sekadar firewall dan dashboard.
