Judul Chief Information Security Officer, atau CISO, muncul selama tahun 1990-an ketika serangan cyber berskala besar pertama mulai terjadi. Sejak saat itu, peran ini telah menjadi hampir merata di setiap organisasi besar yang serius dalam menghadapi keamanan cyber. Menurut firma analis Cybersecurity Ventures, memang 100% dari perusahaan Fortune 500 memiliki seorang CISO atau peran setara pada tahun 2023, naik dari 70% pada tahun 2018, dengan setidaknya 32.000 CISO bekerja secara global dan lebih dari 7.500 di Amerika Serikat. Dan jumlah tersebut terus meningkat sepanjang waktu.
Kami melihat apa yang dibutuhkan dalam peran ini, dan bagaimana cara menjadi seorang CISO.
Apa Itu Chief Information Security Officer?
Seorang CISO biasanya adalah eksekutif tingkat C-suite yang mengawasi keamanan informasi suatu organisasi, mengembangkan serta menerapkan kebijakan untuk menjaga data-data penting tetap aman.
Meskipun fungsi ini sudah menjadi kebutuhan bagi setiap bisnis, CISO biasanya hanya ditemukan di organisasi besar, dengan bisnis kecil hingga menengah lebih cenderung mencampurkan peran ini dengan tanggung jawab keamanan yang lebih umum. Menurut Cybersecurity Ventures, sementara semua perusahaan terbesar di Amerika Serikat memiliki seorang CISO, hampir tidak ada bisnis kecil yang melakukannya. Sebagaimana yang diharapkan, peran ini memiliki lebih banyak penting di organisasi yang menangani sejumlah besar informasi sensitif, baik berupa kekayaan intelektual maupun data pelanggan. Oleh karena itu, fungsi ini sangat penting untuk lembaga keuangan, badan pemerintah, dan sejenisnya.
Apa yang Dilakukan Seorang Chief Information Security Officer?
Tanggung jawab seorang CISO meliputi pengembangan dan penerapan kebijakan keamanan informasi, mulai dari manajemen risiko dan pengembangan kebijakan hingga perencanaan respons insiden.
Secara harian, hal ini berarti berhubungan dengan eksekutif tingkat C-suite lain seperti CEO atau Chief Financial Officer, bersama dengan profesional keamanan senior dan tim teknis lainnya, mengenai bagaimana cara mempersiapkan, menilai, dan mengelola ancaman cyber baru dan potensial. Secara jangka panjang, mereka akan menciptakan strategi keamanan cyber yang sejalan dengan tujuan organisasi, menjaga tingkat kepatuhan regulasi, melakukan manajemen risiko dan penilaian yang berkelanjutan, serta mengawasi program pelatihan staf. Mereka juga akan berhubungan dengan vendor dan mitra rantai pasokan terkait masalah keamanan untuk membuat serta, jika diperlukan, menerapkan rencana respons insiden organisasi, termasuk bekerja dengan ahli eksternal dan otoritas hukum.
Chief Information Security Officers bertanggung jawab dalam mengamankan data-data penting.
CISO Vs. CIO: Apa Perbedaannya?
Chief information officer memiliki tanggung jawab yang lebih luas daripada CISO, dengan CIO bertanggung jawab atas seluruh IT organisasi, bukan hanya masalah keamanan.
CIO memiliki tingkat senioritas yang lebih tinggi dari kedua posisi tersebut, mengembangkan serta menerapkan seluruh strategi IT, mengawasi seluruh staf IT, dan mengelola anggaran. Hal ini berarti bertanggung jawab atas seluruh perangkat lunak, perangkat keras, dan infrastruktur, termasuk peningkatan perangkat lunak dan perangkat keras, serta optimasi jaringan, dan juga manajemen data secara keseluruhan. Oleh karena itu, CIO adalah posisi dengan tingkat tanggung jawab yang lebih besar, dengan fokus yang lebih luas terhadap bisnis secara keseluruhan. Kedua posisi tersebut akan bekerja dalam hubungan yang erat; seringkali, CISO akan melapor kepada CIO, meskipun lebih umum melapor langsung kepada CEO atau chief operations officer.
CISO Vs. CSO: Apa Perbedaannya?
Saat ini, gelar chief information security officer dan chief security officer sering digunakan secara bergantian, dengan peran CISO berfokus pada keamanan cyber.
Namun, deskripsi pekerjaan asli CSO, dan yang masih bertahan di banyak organisasi, mencakup keamanan fisik serta aset digital. Hal ini bisa meliputi pengendalian akses ke situs korporat, pengawasan, serta hubungan dengan penegak hukum dan mitra bisnis eksternal. Hal ini juga akan melibatkan manajemen staf keamanan apa pun. Dalam beberapa kasus, pekerjaan CSO juga mencakup keamanan fisik karyawan, misalnya dalam kasus pabrik atau bank, yang mencakup prosedur keamanan dan rencana tanggap darurat.
Apa Keterampilan dan Kualifikasi yang Dibutuhkan Seorang CISO?
CISO akan memerlukan berbagai keterampilan dan kualifikasi. Karena ini adalah peran manajemen, keterampilan seperti kepemimpinan, komunikasi, dan pemikiran strategis adalah mutlak.
Pekerjaan ini juga memerlukan tingkat pengetahuan teknis yang tinggi. Dalam hal latar belakang pendidikan, seorang CISO biasanya memiliki, paling tidak, gelar sarjana atau magister di bidang seperti ilmu komputer, teknologi informasi, teknik, atau keamanan cyber. Di atas itu, mereka biasanya akan memiliki sertifikasi lain, seperti Certified Information Systems Security Professional, Certified Information Security Manager, atau Cybersecurity Analyst Certification. CISO juga perlu tetap memantau perkembangan teknis baru, seperti Kecerdasan Buatan, seiring perkembangannya. Sebagian besar CISO juga akan memiliki beberapa tahun pengalaman dalam peran keamanan cyber yang lebih junior.
Mengapa Penting untuk Memiliki Seorang CISO?
Semua bisnis, dari yang terbesar hingga yang terkecil, memerlukan seseorang yang mengawasi keamanan data mereka. Namun, ukuran organisasi umumnya akan menentukan berapa banyak staf yang dapat dikhususkan untuk fungsi keamanan, dan dengan demikian apakah mereka mampu untuk mempertahankan peran tersebut sebagai spesialis.
Dalam organisasi yang lebih kecil, oleh karena itu, peran CISO sering kali diserap ke dalam peran CIO. Dalam kasus lain, sebuah perusahaan dapat menyewa seorang CISO virtual, atau vCISO – seorang penasihat atau firma konsultan eksternal yang bekerja untuk bisnis tersebut hanya secara paruh waktu. Kelebihannya adalah bahwa vCISO kemungkinan akan memiliki tingkat keahlian yang lebih tinggi daripada yang bisa dipertahankan oleh perusahaan. Beberapa jenis organisasi akan memiliki kebutuhan yang lebih besar daripada yang lain untuk seorang CISO yang didedikasikan: mereka yang menggunakan sejumlah besar data, misalnya, atau mereka di mana konsekuensi hukum dan reputasi dari pelanggaran akan sangat parah.
Berapa Gaji Rata-rata Seorang CISO?
Gaji rata-rata seorang CISO di Amerika Serikat, menurut platform rekrutmen Glassdoor, adalah $313.036 per tahun, ditambah bonus rata-rata $110.366. Di Inggris, gajinya adalah £132.745 ditambah bonus rata-rata £23.779.
Namun, rata-rata tersebut menyembunyikan kisaran yang sangat luas, menurut angka yang diterbitkan pada Oktober 2023 oleh IANS Research dan Artico Search. Lebih dari separuh dari 600 CISO berbasis di AS yang disurvei mengatakan bahwa mereka mendapatkan gaji kurang dari $400.000 dalam bentuk gaji, bonus, dan ekuitas, dengan tiga dari sepuluh mendapatkan kurang dari $300.000. Di sisi lain spektrum, satu dari lima mendapatkan lebih dari $700.000. Hanya 28% berada di tengah. Secara keseluruhan, ditemukan dari survei, gaji tersebut meningkat 11% dari tahun ke tahun. Perusahaan-perusahaan Fortune 500, terutama di industri seperti keuangan, kesehatan, dan pertahanan, cenderung menawarkan bayaran tertinggi.
Bagaimana Cara Menjadi Seorang CISO?
Seperti yang telah kita lihat, ada tingkat pendidikan formal yang cukup tinggi yang diperlukan untuk peran seorang CISO – setidaknya tingkat sarjana – bersama dengan akreditasi khusus keamanan cyber lainnya.
Namun, itu hanya permulaan: peran seorang CISO sangat jauh dari pekerjaan level pertama. Kebanyakan orang yang berpindah ke posisi ini akan memiliki pengalaman antara lima hingga sepuluh tahun dalam peran IT lain, baik itu analis keamanan, insinyur keamanan, administrator jaringan, atau arsitek jaringan. Sejumlah pengalaman manajemen juga akan diperlukan. Ini bisa berarti mengambil posisi sebagai manajer keamanan cyber, direktur keamanan, atau administrator keamanan – atau bahkan, dalam sebuah organisasi yang cukup besar untuk memiliki satu, wakil CISO. Calon CISO harus berusaha mendapatkan pengalaman yang sebanyak mungkin, mulai dari tata kelola hingga kepatuhan serta manajemen insiden. Posisi CISO tentu akan lebih mudah didapatkan di organisasi yang lebih kecil.
Apa Masa Depan Peran CISO?
Peran CISO telah terus meningkat dalam tingkat kepentingannya selama beberapa dekade terakhir, seiring meningkatnya ancaman keamanan cyber. Pada saat yang sama, regulasi seputar privasi dan keamanan data semakin ketat.
CISO sekarang lebih mungkin untuk terlibat langsung dengan CEO, dan mengambil cakupan yang lebih luas serta tanggung jawab yang meningkat, dengan fokus strategis yang lebih besar. Menurut survei dari Gartner, hampir sembilan dari sepuluh dewan direksi sekarang menganggap keamanan cyber sebagai risiko bisnis, bukan risiko teknologi. Sementara itu, teknologi baru, seperti cloud, AI, dan internet hal-hal terus membawa bahaya baru, dan dengan demikian memerlukan strategi baru untuk menghadapinya. Sementara itu, peralihan ke bekerja dari jarak jauh telah membawa masalah baru. Dan seiring luasnya permukaan serangan berkembang, demikian pula konsekuensi dari kegagalan keamanan, terutama mengingat semakin meningkatnya serangan ransomware.
Kesimpulan:
Peran seorang CISO membawa tanggung jawab atas semua aspek kebijakan keamanan informasi suatu organisasi, dan memerlukan berbagai keterampilan teknis dan manajerial. Dan dengan lanskap ancaman yang terus berkembang, peran ini semakin penting sepanjang waktu.