C-Suite di kursi panas – Tanggung jawab Execs tentang keamanan digital
Apakah Anda membunuh nomor Anda? Menghancurkan target Anda? Tumbuhkan tim Anda? Memimpin dengan keaslian dan membangun pengikut yang setia? Sayang sekali masa jabatan Anda mungkin sudah berakhir.
Saat Anda sibuk memenangkan dan menghancurkan kompetisi, kejahatan dunia maya melanggar jaringan Anda. Jangan terlalu malu, ini terjadi pada hampir semua orang akhir-akhir ini. Rata-rata "waktu tinggal" seorang penyusup adalah lebih dari 100 hari, jadi sulit untuk mengetahui secara pasti kapan ember air es itu dilemparkan pada impian Anda. Sayangnya, bahkan jika Anda melakukan semuanya dengan benar, contoh-contoh terbaru menggambarkan bahwa pekerjaan kami ada di garis ketika peretas datang '.
Sangat sedikit dari Anda yang membaca ini di industri keamanan cyber dan Anda mungkin hanya melihat keamanan jaringan sebagai sesuatu yang diturunkan ke departemen TI. Mungkin Anda melihat keamanan TI sebagai gangguan atau tugas atau pusat biaya. Mungkin Anda mengambil pandangan yang lebih sinis dan merasa bahwa ancaman itu imajiner seperti pendaratan palsu di bulan kembali di tahun 60an. Atau mungkin Anda ikut bermain dan memberi anak-anak apa yang mereka inginkan memungkinkan "Natal datang lebih awal" untuk para Geeks, dengan banyak mainan baru yang mahal di bawah pohon.
Saatnya bangun dan mencium aroma kopi! Keamanan telah mencapai krisis dan kita harus menyelesaikan masalah ini sebagai industri atau menghadapi masa depan dystopian yang lebih buruk daripada apa pun yang dibayangkan di Planet Kera atau Terminator II! Keamanan menjadi pekerjaan semua orang; terutama pekerjaan eksekutif. Jika kita tidak dapat menjaga keamanan perusahaan kita, kita hanya merugikan para pemegang saham, karyawan kita, pelanggan kita, dan, ya, bahkan karier kita yang berharga.
Jika Hanya Ada Banyak Contoh
Kembali pada bulan September 2017, CEO Equifax saat itu Richard Smith mengundurkan diri dari agen pelaporan kredit di tengah serangan balik untuk pelanggaran data yang membahayakan informasi pribadi sensitif dari 143 juta orang Amerika. Smith mengatakan bahwa dia memutuskan untuk mundur dari kepercayaan bahwa "demi kepentingan terbaik perusahaan untuk memiliki kepemimpinan baru untuk memajukan perusahaan," seperti dikutip dalam pernyataan yang dibagikan kepada NBC News. Dengan melakukan hal itu, ia kehilangan bonus sekitar $ 3 juta untuk 2017 dan dibiarkan tanpa pesangon. Aduh!
Tidak ada eksekutif yang ingin menemukan diri mereka segera setelah pelanggaran data. Ini adalah tempat yang sulit untuk dewan dan tempat yang sulit bagi siapa pun dalam manajemen, terutama ketika kesejahteraan publik terganggu. Tentu saja, Smith bukan satu-satunya yang pernah pergi setelah insiden keamanan. Transisi serupa terjadi di Target, Sony Pictures Entertainment dan Uber menyusul pelanggaran data profil tinggi di perusahaan-perusahaan ini.
Pengunduran Diri hanyalah Awal
Seperti yang kita semua tahu, diminta untuk mengepak meja Anda hanyalah salah satu konsekuensi dari pelanggaran data. Namun, tidak berarti hasil dari insiden keamanan biasanya berakhir di sana. Lebih sering, pergantian karyawan di puncak organisasi ini hanyalah permulaan bagi organisasi yang menjadi korban penyerang yang berhasil.
Beberapa bulan setelah eksekutif mengundurkan diri, organisasi yang mengalami pelanggaran data cenderung melaporkan kehilangan pendapatan. Itulah tepatnya yang terjadi dalam kasus Target dan Equifax. Menurut New York Post, yang pertama melaporkan penurunan laba $ 440 juta untuk kuartal keempat fiskal pada 2013 sebagai akibat dari pelanggaran data. Sementara itu, yang terakhir mencatat $ 87,5 juta biaya hanya dalam waktu dua bulan dari insiden keamanan 2017 ini. Agen pelaporan kredit memperkirakan pada saat itu bahwa ia dapat menghadapi tambahan $ 110 juta dalam biaya masa depan terkait dengan pelanggaran tersebut, seperti yang dilaporkan oleh Reuters.
Biaya keuangan ini tidak hanya merugikan eksekutif, tetapi juga mengalihkan uang dari bidang bisnis penting lainnya. Sebagai contoh, CFO menemukan bahwa organisasi biasanya membayar dividen lebih rendah dan berinvestasi lebih sedikit dalam penelitian dan pengembangan selama lima tahun pertama yang secara langsung mengikuti pelanggaran data. Akibatnya, organisasi korban kehilangan keunggulan kompetitif mereka, sehingga melemahkan prospek bisnis masa depan mereka.
Dan ini bukan satu-satunya cara pelanggaran data dapat merusak keunggulan kompetitif organisasi. Penjahat digital mengejar informasi hak milik organisasi, termasuk daftar pelanggan, IP, dan rahasia dagang mereka. Jika aktor jahat mendapatkan akses ke informasi ini, mereka dapat menghasilkan uang di web gelap atau menjual informasi kepada pesaing atau pemerintah asing. Dan siapa yang ingin IP mereka dijual ke penawar tertinggi?
Menempatkan Konsekuensi ke Perspektif
Saya akan lalai jika saya tidak memenuhi syarat di atas. Pada kenyataannya, banyak konsekuensi dari pelanggaran data yang dibahas pada bagian sebelumnya hanya berumur pendek. Harvard Business Review menemukan bahwa harga saham di Home Depot, Target, Sears, dan JP Morgan Chase semua rebound segera setelah penurunan awal yang segera menyusul pengumuman pelanggaran data. Selain itu, para eksekutif yang memutuskan untuk menghadapi serangan balasan publik yang terkait dengan insiden keamanan sering menikmati kenaikan gaji. Fenomena ini mencerminkan keinginan organisasi untuk mempertahankan kepemimpinan mereka sehingga eksekutif mereka dapat memberikan rasa stabilitas melalui pelanggaran data dan memperbaiki masalah struktural di perusahaan itu sendiri, lapor Net Security.
Itu dulu … Ini Sekarang
Semua ini bisa berubah di tengah lonjakan kerangka kerja perlindungan data. Buktinya ada dalam denda yang dapat dibayar organisasi, dan sudah mulai membayar, sebagai akibat dari pelanggaran data. Lebih khusus lagi, kita semua tahu bahwa Peraturan Perlindungan Data Umum Uni Eropa (GDPR, yang juga telah diadopsi Inggris) datang dengan hukuman empat persen dari pendapatan tahunan untuk tahun fiskal sebelumnya atau 20 juta euro, mana saja yang lebih tinggi. Itu harga yang lumayan untuk organisasi mana pun yang mungkin mengalami pelanggaran data di tahun-tahun mendatang.
Beberapa organisasi telah mengeluarkan sanksi moneter serius setelah menjadi korban insiden keamanan. Pada Januari 2019, misalnya, agen perlindungan data Perancis yang dikenal sebagai "Komisi nationale de l'informatique et des libertés" mengeluarkan denda 50 juta euro kepada Google untuk pelanggaran nyata yang terlihat oleh raksasa teknologi GDPR. Sebulan kemudian, Washington Post melaporkan caranya Facebook sedang dalam pembicaraan dengan Komisi Perdagangan Federal A.S. atas kemungkinan "denda multi-miliar dolar" atas dugaan kegagalannya untuk meningkatkan privasi platformnya. Denda seperti itu, seperti yang dicatat TechCrunch dalam liputannya sendiri, bisa menjadi "satu-satunya cara untuk menghukum perusahaan yang begitu kaya sehingga membayar jutaan hanya sedikit dari sekadar gangguan yang berlalu."
Terlalu Keras Pesan untuk Diabaikan
Di luar risiko kehilangan pekerjaan kami jika terjadi pelanggaran data, kami memiliki tanggung jawab yang lebih besar untuk semua karyawan, pemegang saham, pelanggan, dan mitra kami untuk melindungi kepentingan dan informasi mereka.
Satu-satunya cara kita dapat memenuhi tugas ini adalah dengan menganggap serius keamanan digital organisasi kita. Upaya itu dimulai dengan menyadari ancaman nyata yang kita hadapi – dari geng-geng cyber canggih dan terorganisir yang memiliki sumber daya dan keahlian luar biasa. Keamanan bukanlah praktik "atur dan lupakan saja", tetapi latihan untuk terus-menerus meninjau strategi keamanan dan berinvestasi pada orang dan teknologi baru. Ini membutuhkan segalanya, dari program kesadaran keamanan yang berkelanjutan untuk karyawan dan kontrol keamanan dasar seperti manajemen tambalan, hingga solusi keamanan jaringan terbaru dan paling inovatif yang diperlukan untuk mendeteksi ancaman lanjutan yang telah menunjukkan kemampuan mereka untuk menghindari deteksi oleh alat keamanan konvensional.
Saya mendapat manfaat dari bekerja di bidang keamanan, jadi saya melihat setiap hari betapa berbakat dan gigihnya orang jahat itu. Dan itu membuat saya terjaga di malam hari. Saya mendorong Anda untuk menjadikan keamanan sebagai prioritas untuk waktu dan anggaran Anda. Dan, seperti yang mungkin Anda sadari, pekerjaan itu tidak pernah dilakukan. Itu hanya memungkinkan Anda untuk mempertahankan pekerjaan Anda sehingga Anda dapat terus menghancurkan angka-angka Anda.
Kredit gambar: Rawpixel.com / Shutterstock
John DiLullo adalah CEO di Lastline dan memiliki hampir 30 tahun keberhasilan yang ditunjukkan dalam keamanan perusahaan, jaringan, cloud, dan AI, ditambah keahlian go-to-market yang mencakup penjualan, pemasaran, kesuksesan pelanggan, dukungan teknis, dan operasi. Karirnya mencakup waktu yang luas di dalam dan luar negeri dengan para pemimpin pasar seperti Cisco Systems, Avaya, SonicWall, dan Aruba Networks melayani pelanggan besar dan kecil melalui saluran tradisional dan yang muncul.
