Langsung ke konten utama

Kepemimpinan keamanan

Apa yang dilakukan vCISO dan kapan organisasi Anda membutuhkannya

Ringkasnya

CISO fraksional yang memiliki strategi keamanan, tata kelola, dan pelaporan dewan. Dirancang untuk perusahaan Indonesia menghadapi OJK, UU PDP, dan ISO 27001.

Security assessment

Sebagian besar perusahaan Indonesia memiliki orang-orang yang bertanggung jawab atas keamanan dalam beberapa bentuk. Seorang teknisi jaringan yang mengelola firewall. Seorang manajer IT yang menjalankan antivirus. Seorang petugas kepatuhan yang melacak tenggat regulasi. Yang sering mereka tidak miliki adalah seseorang yang menghubungkan semua bagian tersebut menjadi program yang kohesif, memiliki keputusan risiko, dan dapat memberikan laporan yang jujur kepada dewan tentang di mana organisasi berdiri.

Itulah yang dilakukan Chief Information Security Officer. Dan bagi sebagian besar organisasi mid-market, CISO penuh waktu tidak terjangkau, tidak diperlukan pada volume tersebut, atau tidak mungkin untuk direkrut dan dipertahankan di pasar di mana kandidat berpengalaman langka.

Virtual CISO (vCISO) mengisi kesenjangan tersebut. Halaman ini menjelaskan apa yang sebenarnya dicakup peran tersebut, kapan model fraksional masuk akal, dan seperti apa keterlibatan dengan Alpha Code dalam praktiknya.

Apa yang dimiliki vCISO

Istilah "virtual" terkadang menciptakan kesan pengaturan advisory yang lebih ringan. Bukan begitu cara kerja keterlibatan vCISO yang terstruktur dengan baik. vCISO mengambil akuntabilitas nyata atas program keamanan, dengan lingkup yang sama seperti yang akan dipegang CISO permanen, disampaikan dalam jadwal yang ditentukan yang sesuai dengan permintaan aktual organisasi.

Strategi keamanan dan peta jalan

vCISO menetapkan arah multi-tahun untuk program keamanan, diselaraskan dengan prioritas bisnis organisasi dan kewajiban regulasi. Peta jalan mencakup apa yang harus dibangun, apa yang harus diperbaiki, apa yang harus dioutsource, dan dalam urutan apa.

Kepemilikan risiko dan tata kelola

vCISO memiliki register risiko, memimpin atau berpartisipasi dalam komite pengarah keamanan, dan membuat atau menandatangani keputusan penerimaan risiko. Risiko tetap dimiliki, tidak didistribusikan ke seluruh departemen di mana cenderung menghilang.

Pengawasan vendor dan SOC

vCISO memberikan pengawasan independen atas SOC terkelola, penyedia pengujian penetrasi, dan vendor keamanan lainnya. Ini menjaga hubungan komersial dari penyimpangan dan memberikan pandangan independen kepada dewan tentang kinerja pemasok.

Pelaporan dewan dan regulasi

Pelaporan yang jelas kepada dewan tentang status program, keputusan risiko terbuka, dan posisi regulasi. Ketika pemeriksaan OJK atau BSSN terjadi, vCISO memimpin respons dan mengelola komunikasi dengan pemeriksa.

Kapan model fraksional cocok versus rekrutmen penuh waktu

CISO penuh waktu masuk akal ketika fungsi keamanan cukup besar untuk memenuhi waktu seorang eksekutif senior lima hari seminggu, dan organisasi dapat menanggung gaji dan risiko kontinuitas dari satu orang kunci. Bagi banyak perusahaan Indonesia, tidak satu pun kondisi tersebut terpenuhi.

Model fraksional cocok ketika organisasi perlu fungsi tersebut dicakup dengan benar, tetapi tidak memiliki volume yang cukup untuk membenarkan seorang eksekutif khusus. Ini umum di bisnis mid-market, entitas yang diregulasi di ujung lebih kecil dari populasi yang diawasi OJK, dan perusahaan yang berkembang yang menambahkan kewajiban kepatuhan lebih cepat dari yang dapat diserap tim keamanan mereka.

Model ini juga cocok ketika organisasi sebelumnya memiliki rekrutan keamanan senior yang pergi, dan membutuhkan kontinuitas program sementara mempertimbangkan pengganti permanen.

Model keterlibatan

Penilaian postur saat iniMembangun peta jalanMenjalankan programMelaporkan ke dewan

Keterlibatan dimulai dengan penilaian terstruktur terhadap sumber daya manusia, proses, dan teknologi Anda berdasarkan kewajiban regulasi dan profil risiko aktual Anda. Ini menghasilkan baseline dan daftar kesenjangan yang diprioritaskan, bukan daftar periksa kerangka generik.

Dari sana vCISO merancang rencana program, mencakup struktur tata kelola, prioritas penanganan risiko, tonggak kepatuhan, dan ritme operasional untuk keterlibatan. Rencana berjalan selama 12 hingga 24 bulan, dengan tinjauan pada setiap siklus tahunan.

Selama fase operasional, vCISO menghadiri komite pengarah, meninjau kinerja vendor, melacak register risiko, mengawasi SOC, dan mempersiapkan pelaporan untuk dewan Anda. Jadwal biasanya empat hingga delapan hari per bulan, disesuaikan untuk periode permintaan lebih tinggi seperti pemeriksaan regulasi atau insiden signifikan.

Akuntabilitas regulasi di Indonesia

Dua kerangka regulasi Indonesia menempatkan harapan spesifik pada akuntabilitas kepemimpinan keamanan.

UU PDP (UU No. 27 Tahun 2022) mewajibkan pengendali data tertentu untuk menunjuk pihak yang bertanggung jawab atas perlindungan data pribadi berdasarkan Pasal 53, jika pemrosesan berskala besar atau menyangkut kategori data pribadi sensitif. Mahkamah Konstitusi telah mengklarifikasi bahwa kondisi-kondisi ini ditafsirkan sebagai "dan/atau," yang berarti salah satu dari kondisi tersebut dapat cukup untuk memicu kewajiban tersebut. vCISO menyediakan struktur akuntabilitas senior yang mendukung persyaratan ini, bekerja bersama Data Protection Officer yang ditunjuk secara terpisah jika diperlukan.

POJK 11/2022, peraturan OJK tentang penyelenggaraan teknologi informasi oleh bank umum, mensyaratkan struktur tata kelola yang jelas dan akuntabilitas senior untuk risiko keamanan informasi. Bagi lembaga keuangan yang diregulasi, ini berarti seseorang yang bernama di tingkat kepemimpinan yang dapat dimintai pertanggungjawaban atas program keamanan, bukan tanggung jawab yang tersebar di antara IT dan kepatuhan. vCISO mengisi peran tersebut secara langsung.

Strategi keamanan dan peta jalan multi-tahunKepemilikan register risiko dan komite pengarahDukungan akuntabilitas Pasal 53 UU PDPKeselarasan tata kelola OJK POJK 11/2022Kepemimpinan ISMS ISO 27001Pengawasan kinerja SOCManajemen risiko vendor dan pihak ketigaPelingkupan dan tinjauan pengujian penetrasiPelaporan dewan dan eksekutif dalam Bahasa Indonesia dan InggrisDukungan pemeriksaan regulasiOtoritas pengambilan keputusan insidenPengawasan program kesadaran keamanan staf

Apa yang bukan merupakan vCISO

vCISO bukan penyedia daftar periksa kepatuhan. Memproduksi dokumentasi tanpa memiliki program adalah layanan yang berbeda dan tidak boleh disamakan dengan kepemimpinan keamanan.

vCISO juga bukan pengganti tim keamanan operasional. Mereka memberikan arahan strategis dan pengawasan senior. Mereka mengandalkan tim internal Anda, SOC terkelola Anda, dan penyedia keamanan lainnya untuk melaksanakan. Kombinasi kepemimpinan yang kompeten dan sumber daya operasional adalah intinya, bukan eksekutif solo yang mencoba menjalankan semuanya sendiri.

Di Alpha Code, keterlibatan vCISO secara sengaja terhubung dengan layanan SOC, GRC, dan respons insiden kami. vCISO Anda dapat memanfaatkan tim-tim tersebut secara langsung, yang berarti fungsi kepemimpinan didukung oleh kapasitas operasional, bukan berdiri sendiri.

Referensi

  1. 1.IANS dan Artico Search. 2026 State of the CISO Benchmark Report. Data dari 662 CISO, dikumpulkan April-November 2025.
  2. 2.Cynomi. State of the Virtual CISO Report 2024. GlobeNewswire, September 2024.
  3. 3.Republik Indonesia. Undang-Undang No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP). Lembaran Negara Republik Indonesia, 2022.
  4. 4.Otoritas Jasa Keuangan. POJK No. 11/POJK.03/2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum.
  5. 5.Mahkamah Konstitusi RI. Putusan tentang Pasal 53(1)(b) UU PDP: penafsiran kondisional 'dan' sebagai 'dan/atau'. Mahkamah Konstitusi Republik Indonesia.

Ditinjau oleh Naren Krishnan, Cybersecurity Manager

Pertanyaan umum

Konsultan GRC memberikan proyek, menyerahkan laporan, lalu pergi. vCISO mengambil kepemilikan berkelanjutan atas program keamanan Anda. Mereka memimpin komite pengarah, mengelola vendor, mengawasi SOC, menandatangani keputusan risiko, dan melaporkan ke dewan Anda setiap bulan. Akuntabilitas tetap ada, tidak selesai saat dokumen diserahkan.

Terkait

Siap memperkuat keamanan siber Anda?

Bicarakan kebutuhan Anda dengan tim kami di Jakarta.

Tim kami di Jakarta. Kami membalas dalam satu hari kerja.