Transformasi digital telah menjadi prioritas utama bagi banyak organisasi di Indonesia—baik di sektor publik, swasta, maupun BUMN. Implementasi sistem berbasis cloud, Internet of Things (IoT), dan kecerdasan buatan (AI) membuka peluang besar bagi efisiensi dan inovasi. Namun, di balik peluang tersebut, muncul ancaman baru yang tidak kalah serius: risiko siber.
Kasus serangan ransomware terhadap sejumlah rumah sakit dan lembaga pemerintah di Indonesia dalam beberapa tahun terakhir menunjukkan bahwa isu keamanan siber tidak lagi bersifat teknis semata, melainkan sudah menjadi isu strategis korporasi dan nasional. Sayangnya, banyak organisasi masih melihat keamanan siber sebagai urusan tim IT, bukan tanggung jawab kolektif yang melibatkan manajemen puncak dan dewan direksi.
Artikel ini mengadaptasi gagasan Thomas Parenty dan Jack Domet dalam Harvard Business Review untuk menyoroti bagaimana perusahaan, termasuk di Indonesia, dapat menilai dan mengelola risiko siber secara sistematis — bukan sekadar dengan membeli teknologi baru, melainkan dengan membangun tata kelola risiko yang matang dan terukur.
Pendekatan Baru dalam Menilai Risiko Siber
Banyak organisasi menilai ancaman siber secara sempit—misalnya dengan menghitung potensi kerugian finansial dari serangan atau jumlah sistem yang terdampak. Padahal, sebagaimana dijelaskan Parenty dan Domet, pendekatan ini sering gagal karena tidak menilai secara strategis hubungan antara ancaman, aset penting, dan dampak terhadap operasi bisnis.
Dalam konteks Indonesia, di mana banyak BUMN dan instansi pemerintah mengelola data publik berskala besar, pendekatan yang diperlukan adalah risk-based governance: menilai risiko berdasarkan prioritas strategis, bukan sekadar kemungkinan teknis serangan.
Pendekatan ini melibatkan tiga langkah utama:
-
Identifikasi aset kritis — menentukan informasi, sistem, atau layanan yang paling vital bagi kelangsungan operasi.
-
Analisis potensi ancaman dan dampak bisnis — menilai bagaimana gangguan pada aset tersebut akan memengaruhi layanan publik, kepercayaan masyarakat, atau reputasi lembaga.
-
Penerapan kontrol berbasis prioritas — mengalokasikan sumber daya keamanan sesuai tingkat risiko yang paling signifikan, bukan berdasarkan daftar ancaman yang terlalu luas.
Contohnya, untuk lembaga seperti PLN atau Telkom, serangan siber yang mengganggu sistem distribusi energi atau jaringan komunikasi memiliki dampak jauh lebih besar dibandingkan ancaman terhadap sistem administratif internal. Karena itu, pengamanan harus difokuskan pada sistem operasional kritis (Operational Technology/OT) yang menopang infrastruktur nasional.
Peran Pimpinan dan Dewan Direksi
Salah satu kesalahan paling umum di banyak organisasi Indonesia adalah menganggap keamanan siber sebagai urusan teknis level bawah. Padahal, seperti yang ditekankan Parenty dan Domet, tanggung jawab utama justru berada pada dewan dan manajemen puncak.
Dewan direksi harus memandang keamanan siber sebagai bagian dari manajemen risiko korporasi (Enterprise Risk Management, ERM). Artinya, keputusan tentang investasi keamanan, kebijakan perlindungan data, hingga kesiapan menghadapi insiden siber harus dikaitkan langsung dengan strategi bisnis dan keberlanjutan organisasi.
Di Indonesia, peran ini mulai mendapat perhatian melalui regulasi seperti Peraturan OJK No. 4/POJK.05/2021 tentang Manajemen Risiko Teknologi Informasi, yang mewajibkan lembaga keuangan menerapkan tata kelola risiko siber yang mencakup keterlibatan dewan komisaris dan direksi. Namun, implementasinya masih terbatas, terutama di sektor non-keuangan dan lembaga daerah.
Untuk memperkuat peran strategis pimpinan, organisasi perlu:
-
Menetapkan chief information security officer (CISO) yang memiliki akses langsung ke level eksekutif;
-
Memasukkan laporan risiko siber ke dalam agenda rutin rapat direksi dan audit komite;
-
Menyusun rencana kontinuitas bisnis (business continuity plan) yang mencakup skenario serangan siber besar.
Langkah-langkah ini akan memastikan keamanan siber tidak dipandang sebagai beban biaya, melainkan sebagai investasi dalam resiliensi organisasi.
Membangun Budaya Keamanan di Seluruh Tingkatan
Tidak ada teknologi yang dapat menggantikan kesadaran manusia sebagai lini pertahanan pertama. Dalam banyak kasus pelanggaran data di Indonesia, akar masalah bukanlah celah sistem, melainkan kelalaian manusia — klik tautan berbahaya, penggunaan kata sandi lemah, atau pembocoran data tidak sengaja.
Maka, membangun budaya keamanan menjadi keharusan. Program pelatihan keamanan siber harus bersifat berkelanjutan, realistis, dan relevan dengan konteks kerja masing-masing departemen. Karyawan perlu memahami bahwa keamanan data bukan hanya tugas IT, melainkan bagian dari tanggung jawab etika profesional.
Selain itu, manajemen harus menumbuhkan lingkungan psikologis yang aman di mana karyawan tidak takut melaporkan kesalahan atau potensi pelanggaran. Budaya semacam ini memungkinkan organisasi untuk belajar dari insiden, bukan menyembunyikannya.
Implikasi bagi Tata Kelola Siber Nasional
Di tingkat nasional, pemerintah Indonesia telah membentuk Badan Siber dan Sandi Negara (BSSN) sebagai otoritas utama di bidang keamanan siber. Namun, efektivitas pengelolaan risiko siber tidak hanya bergantung pada lembaga pusat, melainkan juga pada sinkronisasi kebijakan antar sektor.
BUMN, kementerian, dan perusahaan swasta perlu menerapkan kerangka kerja keamanan terpadu yang mengacu pada standar global seperti ISO/IEC 27001, NIST Cybersecurity Framework, atau panduan BSSN sendiri. Penerapan kerangka ini bukan sekadar untuk kepatuhan, tetapi untuk membangun kesadaran bersama tentang pentingnya perlindungan data publik dan infrastruktur digital nasional.
Ke depan, kolaborasi antara sektor publik dan swasta menjadi kunci. Serangan siber tidak mengenal batas institusi, sehingga diperlukan ekosistem keamanan yang terbuka, adaptif, dan berbasis pertukaran informasi antar organisasi.
Penutup
Keamanan siber bukan lagi isu teknis, melainkan bagian integral dari ketahanan organisasi dan nasional. Dalam konteks Indonesia, pengelolaan risiko siber harus bergeser dari pendekatan reaktif menjadi proaktif dan strategis. Dewan direksi, pimpinan lembaga, dan seluruh lapisan organisasi perlu menyadari bahwa data dan sistem digital adalah aset utama abad ke-21.
Sebagaimana disampaikan Parenty dan Domet, langkah pertama bukanlah membeli teknologi baru, melainkan memahami risiko yang paling penting dan menanganinya secara sadar, sistematis, dan bertanggung jawab. Dengan tata kelola yang kuat, budaya keamanan yang hidup, dan kepemimpinan yang visioner, Indonesia dapat membangun fondasi keamanan digital yang tangguh menuju ekonomi berbasis data yang berdaulat.
Daftar Pustaka
Parenty, T. J., & Domet, J. J. (2019). Sizing up your cyberrisks. Harvard Business Review, 102(5), 219–238.
Badan Siber dan Sandi Negara (BSSN). (2023). Panduan keamanan siber nasional untuk sektor publik dan infrastruktur kritis. Jakarta: BSSN.
Otoritas Jasa Keuangan (OJK). (2021). Peraturan OJK No. 4/POJK.05/2021 tentang Manajemen Risiko Teknologi Informasi. Jakarta: OJK.
International Organization for Standardization. (2022). ISO/IEC 27001: Information security management systems — Requirements. Geneva: ISO.
NIST. (2020). Framework for improving critical infrastructure cybersecurity (Version 1.1). Gaithersburg, MD: National Institute of Standards and Technology.