Yash Jain membahas bagaimana keamanan siber perlu menjadi ‘komponen fundamental’ kelembagaan, bukan ‘kotak centang kepatuhan’.
Bagi Yash Jain, manajer keamanan siber, forensik, dan privasi di PwC, lanskap keamanan siber Irlandia “berkembang pesat seiring dengan meningkatnya kesadaran menyusul serangan siber yang ditargetkan pada infrastruktur nasional yang penting, seperti Health Service Executive (HSE) dan perusahaan farmasi”.
Ia mengatakan kepada SiliconRepublic.com: “Insiden-insiden ini menyoroti pentingnya keamanan siber dalam infrastruktur digital modern, sehingga mendorong pemerintah dan sektor swasta untuk memprioritaskan keamanan sebagai komponen mendasar, bukan sekadar kotak centang kepatuhan.”
Bisakah Anda menguraikan beberapa tantangannya?
Kesadaran akan keamanan siber tersebar luas, namun banyak yang kesulitan mengambil langkah-langkah praktis yang diperlukan untuk melindungi organisasi dan individu dari ancaman siber. Tantangan utamanya terletak pada menyusun strategi keamanan yang selaras dengan tujuan bisnis dan persyaratan kepatuhan. Keamanan siber bukan hanya tentang mengadopsi alat otomatis atau menjalankan kampanye kesadaran. Hal ini tentang memilih strategi yang secara efektif menerapkan langkah-langkah perlindungan pada manusia, proses, dan teknologi. Selain itu, kekurangan keterampilan merupakan tantangan lain yang dihadapi sektor ini pada tahap ini. Menemukan talenta yang tepat untuk menangani keamanan dan ini merupakan tantangan utama.
Keterampilan apa yang dibutuhkan oleh para profesional modern untuk mengelola atau tetap berada di depan ancaman?
Dalam lingkungan keamanan siber saat ini, mitigasi kekurangan keterampilan memerlukan pemahaman yang kuat tentang konsep jaringan dan pemahaman terhadap alat pengembangan dasar, termasuk API dan teknologi skrip dan web yang umum digunakan. Keterampilan inti ini memungkinkan para profesional untuk memahami bagaimana sistem berkomunikasi, mengidentifikasi kerentanan, dan menganalisis serta merespons ancaman siber secara efektif.
Pengetahuan ini meletakkan dasar untuk memahami konsep teknis yang kompleks. Mengejar sertifikasi yang diakui secara global seperti Certified Information Systems Professional (CISSP) dan Certified Information System Auditor (CISA) dapat lebih meningkatkan keahlian keamanan mereka. Pendekatan ini membekali para profesional untuk menavigasi tantangan yang terus berkembang dalam keamanan siber. Selain itu, memanfaatkan AI untuk mengembangkan keterampilan ini menawarkan alternatif modern dibandingkan metode pembelajaran tradisional, seperti memilah-milah buku yang ekstensif.
Bagaimana sebuah organisasi dapat memastikan tenaga kerjanya cukup terampil dalam praktik terbaik keamanan siber?
Untuk membangun budaya keamanan siber yang kuat, organisasi harus memastikan timnya memahami dampak keamanan siber terhadap mereka dan organisasi. Pendidikan harus lugas dan jelas, terutama bagi mereka yang memiliki peran non-TI seperti SDM, keuangan, dan operasional. Libatkan tenaga kerja Anda dengan sesi interaktif, seperti pelatihan tatap muka dan latihan simulasi phishing skala besar. Simulasi ini, yang dikelola oleh tim keamanan Anda atau pihak ketiga tepercaya, melibatkan pengiriman email phishing palsu kepada karyawan untuk menguji kemampuan mereka mengenali dan menangani upaya phishing – tanpa ancaman nyata terhadap organisasi.
Kembali ke dasar, sangat penting untuk menjaga praktik keamanan dasar, menghindari berbagi kata sandi, tidak menuliskannya di meja atau sampul laptop, dan tidak menggunakan alamat email perusahaan untuk aktivitas pribadi seperti keanggotaan gym. Dengan memupuk kebiasaan ini, Anda dapat meningkatkan ketahanan keamanan siber organisasi Anda.
Seberapa pentingkah kolaborasi silang untuk memastikan kebersihan dunia maya yang kuat dan respons yang cepat terhadap ancaman?
Kolaborasi silang sangat penting untuk membangun postur keamanan siber yang tangguh. Keamanan siber tidak lagi semata-mata menjadi tanggung jawab tim TI atau keamanan, melainkan menjadi perhatian organisasi yang menyentuh setiap departemen dan individu. Ketika tim di bidang SDM, hukum, keuangan, operasi, dan teknologi bekerja tanpa kolaborasi, hal ini menciptakan titik buta yang dapat dengan mudah dieksploitasi oleh pelaku ancaman. Kolaborasi yang efektif memastikan bahwa intelijen ancaman dibagikan dengan cepat ke seluruh tim yang tepat, memungkinkan deteksi dan respons yang lebih cepat terhadap insiden. Misalnya, selama serangan ransomware, respons terkoordinasi antara tim keamanan, pimpinan senior, penasihat hukum, dan komunikasi sangat penting untuk meminimalkan kerusakan dan menjaga kewajiban kepatuhan.
Penting bagi organisasi untuk mengambil langkah-langkah nyata untuk mempertahankan dan memperkuat kolaborasi efektif mereka saat ini dan sebagai konsekuensinya mempertimbangkan untuk beralih dari praktik penilaian siber tradisional, seperti pengujian penetrasi konvensional. Sebaliknya, mereka harus mengalihkan fokus mereka ke latihan tim ungu. Latihan tim ungu adalah penilaian pengujian penetrasi siber tingkat lanjut di mana penguji penetrasi menyimulasikan serangan siber canggih untuk mengevaluasi kematangan keamanan organisasi di seluruh sumber daya manusia, proses, dan teknologi, dengan tujuan mendeteksi dan memblokir potensi ancaman siber.
Apakah ada mitos seputar peran Anda dalam keamanan siber yang ingin Anda sangkal?
Sangat. Ada beberapa kesalahpahaman yang sering saya temui dan menurut saya perlu diatasi. Yang pertama adalah bahwa keamanan siber hanyalah sebuah peran teknis. Meskipun pengetahuan teknis sangat berharga, sebagian besar pekerjaan saya melibatkan pemikiran strategis, penilaian risiko, dan mengkomunikasikan ancaman dengan cara yang dapat dipahami dan ditindaklanjuti oleh pemangku kepentingan non-teknis. Anda tidak perlu menjadi seorang programmer untuk memiliki karir yang bermakna dan berdampak di bidang ini.
Mitos kedua adalah keamanan siber hanya menjadi perhatian organisasi besar. Menurut pengalaman saya, usaha kecil dan menengah sering kali lebih rentan justru karena mereka dianggap mempunyai risiko rendah sehingga kurang berinvestasi pada pertahanan mereka. Penyerang sangat menyadari hal ini.
Mitos ketiga dan mungkin yang paling berbahaya adalah memiliki alat yang tepat berarti Anda terlindungi. Teknologi hanyalah satu lapisan pertahanan. Beberapa pelanggaran paling merusak yang pernah saya lihat bukanlah akibat dari kegagalan teknis, namun terjadi karena seseorang mengklik link yang tidak seharusnya mereka miliki, atau membagikan kredensial tanpa menyadari konsekuensinya.
Apa saran Anda untuk para profesional yang mencari karir serupa di bidang ini?
Saran saya sederhana: mulailah dengan rasa ingin tahu dan jangan pernah berhenti belajar. Mulailah dengan membangun dasar yang kuat dalam jaringan dan dasar-dasar TI, dan pertimbangkan untuk mengejar sertifikasi yang diakui seperti CompTIA Security+, CISSP, atau CISA tergantung pada bidang minat Anda. Jangan berkecil hati jika latar belakang Anda bukan TI tradisional, karena beberapa profesional paling efektif di bidang ini berasal dari berbagai latar belakang seperti hukum, bisnis, dan psikologi, karena keterampilan lunak seperti komunikasi, pemikiran kritis, dan pemecahan masalah sama berharganya dengan keahlian teknis.
Kami telah menyaksikan skenario di mana orang-orang yang berasal dari berbagai latar belakang pendidikan seperti studi bisnis, hukum, dan kursus non-teknologi lainnya mengikuti pendekatan di atas dan memungkinkan mereka menjadi profesional dunia maya yang kompeten. PwC menyediakan program pembelajaran yang dirancang khusus bagi karyawan yang bergabung dengan perusahaan dari berbagai latar belakang untuk mencapai tujuan ini. Jalur pembelajaran ini diselaraskan untuk mengembangkan individu menjadi profesional keamanan siber yang mampu mengelola tugas-tugas tata kelola, risiko, dan kepatuhan rutin untuk menjaga postur keamanan siber suatu organisasi. Namun, untuk memperdalam karir ini, khususnya untuk menjadi insinyur keamanan ofensif, diperlukan keterampilan tambahan.
Manfaatkan alat pembelajaran berbasis AI dan platform online untuk mempercepat pengembangan Anda daripada hanya mengandalkan metode tradisional. Yang terpenting, terlibatlah dengan komunitas keamanan siber yang lebih luas melalui berbagai acara, forum, dan peluang berjejaring, karena bidang ini berkembang pesat melalui kolaborasi dan berbagi pengetahuan, dan mereka yang merangkul hal tersebut akan selalu menjadi yang terdepan.