  “Akibatnya, banyak perusahaan yang membentuk posisi baru setingkat eksekutif, yaitu Chief Security Officer (CSO), sebagai langkah utama mencapai tujuan-tujuan tersebut,” kata Judy B. Homer, presiden JB Homer Associates , perusahaan pencari eksekutif dalam kolomnya di majalah CIO (Juni 2002).
Menurut Chad Robinson, senior research analyst, Robert Frances Group , CSO seyogyanya merupakan jabatan eksekutif puncak untuk security (lihat “Peran Seorang CSO”). Menurut Robinson, secara umum CSO bertanggung jawab mengawasi dan menjaga aset informasi, kekayaan intelektual dan sistem komputer, terkadang juga keamanan fisik karyawan. Ia menentukan tujuan dan sasaran perlindungan yang konsisten dengan rencana strategis perusahaan dan mengelola pengembangan dan implementasi kebijakan, standar, panduan dan prosedur security secara umum. Ia juga mengelola hubungan dengan para penegak hukum dan institusi hukum lainnya, dan mengawasi investigasi kebocoran security dan berbagai hal serta urusan hukum yang terkait. Ia pun bekerjasama dengan konsultan pihak ketiga untuk melakukan audit security secara independen.
Di AS, belakangan ini, btren jabatan CSO yang mengurusi keamanan sistem informasi cenderung meningkat. Dalam suatu survei yang dilakukan CSO Magazine di awal tahun ini terungkap adanya peningkatan jumlah profesional security dengan jabatan semacam CSO. Hampir dua pertiga responden mengatakan bahwa mereka adalah yang pertama menduduki jabatan itu, sementara tahun lalu hanya 49 persen.
Di sisi lain, tingkatan jabatan puncak yang mengurusi security ini beragam. Hampir 26 persen mengatakan jabatan ini termasuk level senior (CSO, CISO atau VP security ), meningkat dibandingkan tahun 2003 lalu. Sementara itu, sekitar 30 persen responden mengatakan jabatan puncak security ini setingkat direktur atau manajer. Hampir separuh responden mengatakan bahwa cakupan tugasnya hanya sebatas information security (43%), corporate security (17%) dan menjawab keduanya (17%).
Dari survei diketahui bahwa semakin banyak perusahaan di AS memutuskan menunjuk jabatan khusus untuk security dan menempatkan jabatan itu setingkat high-level management , yang tentunya memiliki kekuatan dalam mengambil keputusan.
Berbeda dengan AS, tren pembentukan posisi setingkat eksekutif khusus untuk menjaga security korporat ini kelihatannya tidak berkembang di kalangan korporasi negara-negara Asia. CSO tetap merupakan fenomena Amerika, kata Reza Ghazali, partner, Global Technology Market , Korn/Ferry , perusahaan perekrut eksekutif, yang memasok eksekutif TI dan operasional tingkat senior untuk perusahaan-perusahaan ASEAN.
“CSO masih merupakan buzzword . Jabatan ini relatif baru di belahan Asia, sekalipun posisi ini sudah populer di Amerika Utara dan Eropa sebagai dampak meningkatnya awareness security pasca 11 September. Khususnya di perusahaan-perusahaan besar yang memiliki tempat penyimpanan informasi pelanggan yang besar,” kata Ghazali.
Yap Chee Yuen, CIO JTC Corp, pengelola lahan industri Singapura, menghubungkan jabatan CSO ini dengan tanggung jawab security secara fisik. “Jabatan CSO di beberapa perusahaan mengacu pada eksekutif yang menangani security secara fisik. Di perusahaan-perusahaan inilah jabatan CSO diadakan.”
JTC Corp, menurut Yuen, tidak memiliki CSO. Tetapi, ketika menyangkut masalah security TI, CIO-lah yang bertanggung jawab. “Kami memiliki suatu organisasi security TI, dengan seorang asisten direktur yang ditunjuk sebagai manajer security TI untuk melaksanakan program security melalui sebuah komite teknis security TI. Komite ini diawasi oleh steering committee yang diketuai saya sendiri dan asisten CEO.”
Di Urban Redevelopment Authority (URA), badan pertanahan Singapura, menurut Peter Quek, kepala sistem informasi, jabatan CSO tidak ada, dan tanggung jawab security TI ada di tangan CIO. Namun, ia mengakui bahwa security memang sebaiknya dikelola oleh high-level management . “Kami tidak mengadakan posisi ini. Di URA, kami memiliki kelompok kerja, yang saya pimpin sendiri dibantu administrator security . Tugasnya mengurusi kebijakan security , proteksi, deteksi, audit dan recovery . Selain itu, ada pula IT steering committee tingkat tinggi, yang diketuai manajemen senior,” jelas Quek.
Di raksasa perbankan Belanda, ABN AMRO pun situasinya sama: security sangat berhubungan erat dengan TI. Vincent Lew, regional head of Technology Risk Management , Asia Pacific , mengatakan bahwa organisasinya merupakan bagian dari fungsi TI di ABN AMRO, dan ia pun melapor baik ke CIO regional maupun pimpinan strategy and risk management yang bermarkas di London.
“Di Asia Pasifik, saya tidak melihat fungsi security ini akan dipisahkan dari TI dalam waktu dekat. Karena, sebagian besar yang kami tangani di industri perbankan dan jasa keuangan adalah mengenai sistem dan pemrosesan data. Jadi, lebih tepat bila security ada dalam organisasi TI, semata-mata untuk kepentingan fungsional dan operasional,” tutur Lew.
Peran Seorang CSO
Tanggungjawab masalah security seringkali jatuh ke pundak para eksekutif TI dan departemennya. Akibatnya, mereka pun terpaksa bekerja keras untuk memenuhi tuntutan akses dan delivery aplikasi dari lines of business (LOB)-nya. Selain itu, mereka juga bertanggungjawab mengatasi terhadap lubang-lubang security sebagai dampak perubahan yang dibuat untuk memenuhi tuntutan tersebut. Belum lagi mencari solusi mengatasi begitu banyaknya masalah security , seperti fraud dan pencurian informasi oleh karyawan, keamanan jejaring untuk para teleworker , dan banyak lagi.
Penanganan risiko-risiko security perlu mencakup beberapa wilayah yang berbeda, antara lain pengembangan kebijakan dan prosedur, implementasi langkah-langkah protektif, dan audit kebijakan, prosedur dan langkah-langkah protektif itu sendiri. Semua itu bisa dilakukan sendiri secara internal maupun alihdaya dengan security provider dan perusahaan audit. Namun, langkah ini bisa menciptakan keruwetan bagi para eksekutif TI, yang berusaha memenuhi kebutuhan LOB di masa depan tanpa harus membahayakan security dan menambah kerumitan dan biaya administratifnya.
Untuk menangani masalah ini, banyak perusahaan yang melirik peran CSO ini. Menurut Chad Robinson, senior research analyst, Robert Frances Group , seorang CSO biasanya dibebani dengan berbagai tanggung jawab seperti:
- Bertindak sebagai wakil perusahaan untuk menjawab pertanyaan-pertanyaan dari pelanggan, mitra bisnis dan publik yang terkait dengan strategi security perusahaan.
- Bertindak sebagai wakil perusahaan ketika berurusan dengan pihak berwajib ketika mengejar sumber-sumber serangan terhadap jaringan dan pencurian informasi oleh karyawan.
- Menjembatani kesenjangan antara LOB dan departemen TI, untuk menyelaraskan kebutuhan security dengan perencanaan bisnis strategis perusahaan, mengidentifikasi faktor-faktor risiko, dan menentukan solusi untuk keduanya.
- Mengembangkan kebijakan dan prosedur security yang menyediakan perlindungan aplikasi bisnis secara memadai tanpa mengganggu core business .
- Merencanakan dan menguji respon terhadap kebocoran security , termasuk peluang mendiskusikannya dengan pelanggan, mitra bisnis, atau publik.
- Mengawasi pemilihan, pegujian, penggelaran dan pemeliharaan perangkat keras dan lunak security maupun pengaturan item yang dialihdayakan.
Mengawasi staf atau karyawan yang bertanggungjawab terhadap security perusahaan, mulai dari teknisi jaringan yang mengelola firewall hingga penanganan petugas keamanannya. |
Kondisi di Indonesia pun kurang lebih sama. Sekalipun belum ada data pasti, agaknya jabatan setingkat high-level management untuk IT security memang belum populer. Di Bank Rakyat Indonesia (BRI) misalnya, security TI berada di bawah divisi teknologi sistem informasi. Berdirinya bagian khusus yang menangani security TI ini menurut Triasmoro, Kepala Bagian Pengelola Sistem Security, Divisi Teknologi & Sistem Informasi, BRI, juga relatif belum lama, sejak sekitar tahun 2002 lalu.
Tugas yang diembannya tidak ringan. Dengan tim hanya beranggotakan tujuh orang, bagian ini bertanggungjawab menjaga jejaring TI milik BRI, yang digunakan oleh lebih dari 15.000 pengguna. Selain itu, menurut Triasmoro, kebijakan security TI juga dibuat dan dipelihara oleh pihaknya. “Bahkan, kami pun melakukan assessment terhadap kebijakan security itu sendiri, untuk kemudian mengeluarkan kebijakan baru,” ujarnya.
Di luar itu, masih ada tanggung jawab melakukan assessment terhadap sistem security TI dan hal lain yang sangat krusial: awareness . “Ini yang berat,” ujar Triasmoro.
“Kekuasaan” CSO
Salah satu isu yang masih sensitif seputar jabatan CSO adalah kepada siapa ia melapor. Logikanya, CSO memang melapor ke CIO – karena CIO mengepalai TI dan ia mungkin bersikeras bahwa CSO harus melapor langsung kepadanya, karena pada akhirnya nanti seluruh keputusan yang mempengaruhi teknologi harus berada di tangannya. Namun, para pakar dan praktisi industri percaya bahwa CSO seharusnya melapor ke COO atau CEO, karena inti tanggungjawab CSO adalah assessment terhadap kerentanan security dan manajemen risiko.
Menurut Judy Homer, CSO akan mengevaluasi lingkungan teknologi dan mengaudit langkah-langkah security yang diimplementasikan CIO. “Demi kepentingan perusahaan maupun CIO itu sendirilah CSO perlu dipandang sebagai assessor lingkungan teknologi daripada sekedar tukang stempel,” kata Homer.
Hal ini pun diamini Lew dari ABN AMRO. “Langkah-langkah yang dibuat organisasi security harus menyediakan sebuah kerangka kerja security mengenai bagaimana teknologi itu dikelola. Jadi, CSO tidak bisa mengawasi TI jika ia melapor hanya ke pengelola TI sendiri.”
Chad Robinson pun sependapat bahwa CSO memang perlu dibekali kekuatan yang memadai (selain anggaran dan staf) untuk membuat perubahan-perubahan yang dirasakan perlu demi melindungi kepentingan perusahaan. “Ketiadaan salah satu dari faktor di atas sama saja membuat posisi ini menjadi “impoten,” khususnya untuk mempengaruhi perubahan security plan di perusahaan,” tandas Chad.
Boleh jadi, pendapat Robinson di atas benar. Seorang CSO tanpa power mungkin ibarat macan kertas. Makanya tidak heran, jika dukungan dari top management menjadi sangat penting. Ambil contoh untuk kasus di BRI. Untuk masalah-masalah yang terkait dengan awareness misalnya, menurut Triasmoro, pihaknya membuat semacam surat keputusan. “ Nah , supaya lebih bergigi, yang menandatangani malah bisa sampai level CEO. Kalau sudah begitu, semua orang mungkin akan nurut ,” ujarnya.
Mendorong awareness , merangkap humas
Dalam semua kasus, CSO yang efektif harus bekerja sama dengan tim eksekutif untuk mencapai tujuan bisnis. CSO juga perlu memanfaatkan kemitraan ini untuk meringankan kerja mereka dalam mengomunikasikan masalah security di perusahaan.
Lew misalnya, mengatakan bahwa ia memanfaatkan dukungan manajemen dan kemitraan dengan eksekutif lainnya di bagian public relations (PR) maupun HR untuk security awareness . Apakah itu bekerjasama dengan PR untuk mencetak poster-poster security awareness , atau dengan HR melalui penyisipan materi edukasi security selama masa orientasi pegawai. Dengan langkah-langkah semacam itu, semua pihak diharapkan berpartisipasi dalam melindungi security TI perusahaan.
CSO pun perlu “memasarkan jasanya” ke seluruh bagian perusahaan, untuk menyampaikan apa saja yang bisa ia lakukan bagi kepentingan masing-masing unit bisnis. “Seorang CSO selayaknya bersikap proaktif dalam hal penanganan kebutuhan bisnis. Percaya atau tidak, di security ada elemen PR-nya. Kita pun kadang-kadang harus ‘menjual diri',” ujar Lew.
Untuk fungsi “ke-PR-an” ini, Robinson memiliki sudut pandang yang sedikit berbeda. Penempatan seorang CSO, dipandangnya bisa memberikan pesan kepada publik, khususnya terhadap hal-hal yang berkaitan dengan masalah security . Jika suatu perusahaan mengalami masalah dengan security TI, adanya seorang CSO paling tidak bisa menentramkan dan meyakinkan publik bahwa masalah itu mendapat perhatian perusahaan dan ada yang menanganinya.
erlu tidaknya posisi CSO ini memang relatif. Namun, menurut Robinson, dengan adanya posisi ini, paling tidak perusahaan bisa meningkatkan perhatiannya terhadap masalah security , dan mengurangi kekhawatiran bagaimana informasi rahasia dan sensitif dilindungi. “Hal ini bisa menjadi hal yang penting bagi perusahaan-perusahaan besar dan terpencar-pencar, karena security menjadi aspek yang begitu kompleks di perusahaan tersebut,” kata Robinson. Hayo, siapa yang berniat melamar jadi CSO? rfg/ca/aa
Foto-foto: Muflihun.
|
