Peran "People" yang Sering Dilupakan pada People, Process, Technology (PPT) untuk Memperkuat Ketahanan dan Keamanan Siber Organisasi

Dalam era digital yang serba cepat, organisasi dihadapkan pada tantangan yang semakin kompleks terkait ketahanan dan keamanan siber. Banyak perusahaan menginvestasikan miliaran dolar untuk teknologi canggih dan menyusun proses operasional yang ketat guna melindungi sistem mereka dari ancaman. Namun, di balik itu semua, sering kali ada satu elemen penting yang terabaikan: "People" atau manusia.

Konsep People, Process, Technology (PPT) telah lama menjadi kerangka kerja yang diadopsi oleh banyak organisasi untuk memastikan kinerja dan keamanan operasional. Namun, meskipun "People" ditempatkan di awal, elemen ini sering dipandang sebagai pelengkap, bukan sebagai fondasi. Padahal, ketahanan dan keamanan siber yang tangguh hanya dapat dicapai jika organisasi menempatkan perhatian besar pada peran manusia.

Mengapa "People" Sering Diabaikan?

Dalam banyak kasus, organisasi terlalu terfokus pada teknologi. Investasi dalam perangkat lunak keamanan terbaru, firewall canggih, dan sistem pemantauan real-time sering kali dianggap sebagai solusi utama untuk menghadapi ancaman siber. Di sisi lain, proses bisnis dan standar operasional juga mendapatkan porsi besar dalam perencanaan keamanan siber.

Namun, elemen "People" sering kali dianggap sebagai elemen yang sulit diukur dan diatur. Pelatihan keamanan siber dianggap cukup dengan sesi tahunan yang bersifat formalistik. Selain itu, banyak organisasi gagal menyadari bahwa faktor manusia bukan hanya karyawan operasional, tetapi juga mencakup manajemen, mitra bisnis, dan bahkan pengguna akhir.

Konsekuensi Mengabaikan Peran "People"

Ketika elemen "People" diabaikan, organisasi menjadi rentan terhadap serangkaian risiko, seperti:

1. Serangan siber berbasis manipulasi psikologis, seperti phishing dan social engineering selalu memanfaatkan kelemahan manusia. Teknologi canggih tidak dapat sepenuhnya melindungi organisasi jika karyawan tidak peka terhadap ancaman semacam ini.

2. Banyak insiden keamanan siber terjadi akibat kelalaian manusia (Human error), seperti penggunaan password yang lemah, pengunduhan file dari sumber tidak terpercaya, atau konfigurasi sistem yang salah.

3. Sebaik apa pun proses yang dirancang, kebijakan keamanan akan gagal jika manusia yang terlibat tidak mematuhinya karena kurangnya pemahaman atau kepedulian (sistem reward dan punishment).

Mengoptimalkan Peran "People" dalam PPT

Untuk memperkuat ketahanan dan keamanan siber, organisasi harus mengintegrasikan elemen "People" secara strategis. Berikut adalah langkah-langkah yang dapat diambil seperti:

1. Pelatihan tidak boleh berhenti pada sesi tahunan. Organisasi harus mengadopsi pendekatan pelatihan berkelanjutan yang disesuaikan dengan peran dan tanggung jawab masing-masing individu. Simulasi serangan siber, seperti tes phishing, dapat menjadi alat yang efektif untuk meningkatkan kewaspadaan.

2. Keamanan siber harus menjadi bagian dari budaya organisasi, bukan sekadar kewajiban administratif. Ini berarti menciptakan lingkungan di mana setiap karyawan merasa bertanggung jawab atas keamanan dan memahami dampak potensial dari tindakan mereka.

3. Karyawan bukan hanya objek pelatihan, tetapi juga aset strategis dalam mendeteksi dan merespons ancaman. Organisasi harus memberikan mereka alat dan wewenang untuk melaporkan potensi ancaman dengan cepat dan tanpa rasa takut (Tim Computer Security Incident Response Team/CSIRT/Tim Tanggap Insiden Siber).

4. Selain itu, Top Level Manajemen harus menjadi contoh dalam menjalankan praktik keamanan siber. Ketika para pemimpin menunjukkan komitmen terhadap keamanan, hal ini akan mendorong karyawan lain untuk mengikuti jejak mereka.

Peraturan Badan Siber dan Sandi Negara Nomor 1 Tahun 2024 tentang Pengelolaan Insiden Siber

Pada tahun 2024, Badan Siber dan Sandi Negara (BSSN) mengeluarkan Peraturan Nomor 1 Tahun 2024 tentang Pengelolaan Insiden Siber. Peraturan ini memberikan panduan komprehensif kepada organisasi dalam merespons, menangani, dan memitigasi insiden siber. Salah satu poin penting dalam peraturan ini adalah penekanan pada peran manusia sebagai bagian integral dari pengelolaan insiden siber.

Menurut peraturan ini, organisasi diharapkan untuk:

1. Membangun Tim Tanggap Insiden (CSIRT) yang terdiri dari individu-individu terlatih yang mampu mendeteksi dan merespons insiden siber secara efektif.

2. Melakukan Pelatihan dan Simulasi secara berkala untuk memastikan seluruh tim memahami peran mereka dalam skenario insiden nyata.

3. Meningkatkan Kesadaran Siber di Semua Tingkatan organisasi untuk mengurangi risiko yang berasal dari kelalaian manusia.

4. Menerapkan Evaluasi Pasca-Insiden yang melibatkan seluruh elemen organisasi, termasuk karyawan, untuk mengidentifikasi kelemahan dalam proses tanggap darurat.

Hal ini sejalan dengan konsep PPT, di mana "People" berperan sebagai penggerak utama dalam pengelolaan insiden siber. Ketika karyawan terlatih dan proaktif dalam menangani ancaman, organisasi akan memiliki ketahanan yang lebih kuat.

Ketahanan dan keamanan siber tidak bisa hanya bergantung pada teknologi canggih atau proses yang terstruktur. Tanpa "People" yang kompeten, berdaya, dan terlibat secara aktif, sistem keamanan akan selalu memiliki celah. Oleh karena itu, organisasi harus mengembalikan fokus pada elemen manusia sebagai inti dari pendekatan PPT.

Penerapan Peraturan BSSN Nomor 1 Tahun 2024 memberikan landasan yang kuat bagi organisasi di Indonesia untuk mengelola insiden siber secara efektif dengan memberdayakan "People" sebagai garis pertahanan pertama. Dalam dunia di mana ancaman terus berkembang, manusia tetap menjadi faktor penentu. Dengan memberdayakan "People," organisasi dapat menciptakan benteng keamanan yang lebih tangguh, fleksibel, dan mampu menghadapi tantangan masa depan.