monsitj/iStock/Getty Images Plus
Ikuti ZDNET: Tambahkan kami sebagai sumber pilihan di Google.
Poin Utama ZDNET
Keamanan aplikasi membutuhkan akuntabilitas di tingkat dewan.
Budaya bisa menentukan berhasil atau tidaknya pendekatan secure-by-design.
Model operasional mengubah pencegahan menjadi praktik sehari-hari.
Banyak perusahaan kini berfokus pada strategi perangkat lunak yang mengubah hasil keamanan siber. Tantangannya adalah bagaimana mengintegrasikan keamanan sejak awal siklus pengembangan dan membangun alat serta teknik yang mampu menangkap bug dan kerentanan sebelum menjadi masalah besar. Artikel ini membahas transisi dari pendekatan reaktif ke preventif sebagai mandat budaya, serta pentingnya kepemimpinan dalam menggeser keamanan dari sekadar perbaikan pasca-peluncuran menjadi strategi desain pra-peluncuran.
Keamanan aplikasi tradisional biasanya menemukan dan menambal celah setelah rilis. Pendekatan “secure-at-the-source” justru berusaha mencegah masalah sejak awal. Namun, implementasinya lebih kompleks, terutama di tingkat perusahaan. Agar strategi ini menjadi mandat organisasi, pencegahan harus dijalankan sebagai model operasional yang terkelola, dapat diulang, dan didanai secara memadai.
Keamanan Perangkat Lunak sebagai Tanggung Jawab Kepemimpinan
Di sinilah manajemen perangkat lunak bergeser dari tanggung jawab manajer lini menjadi keharusan di tingkat dewan. Ketika kode yang dihasilkan tim pengembangan mengelola pengalaman pelanggan, operasi, identitas, pembayaran, analitik, dan alur kerja AI, maka desain yang aman menjadi prioritas mitigasi risiko yang menyangkut eksistensi perusahaan.
Pengembang ya mengembangkan. Itu sudah pasti. Kami punya alat, kini diperkuat AI, yang bisa digunakan sebagai pemindai dan dasbor untuk mengidentifikasi dan melacak masalah. Namun, alat lunak yang kami miliki—bahkan tim insinyur sekalipun—tidak bisa menentukan prioritas global, mengalokasikan kapasitas teknik di seluruh perusahaan, mengubah insentif, menyelesaikan konflik kepemilikan antar departemen, atau menjadikan pencegahan risiko sebagai komponen inti prinsip operasional setiap divisi.
Baca juga: Privasi di Era AI Itu Mungkin, Kata CEO Proton, Tapi Satu Hal Membuatnya Begadang
Ketika perusahaan menerbitkan laporan triwulanan atau tahunan, salah satu metrik utama yang diperiksa investor, pimpinan, dan regulator adalah utang; semakin besar utang yang membebani perusahaan, semakin khawatir pemangku kepentingan.
Namun, berbeda dengan utang di neraca yang mencerminkan kewajiban pembayaran masa depan, utang teknis dan utang keamanan tidak semudah itu diukur. Meskipun demikian, keduanya tetap mencerminkan kewajiban organisasi atas pemeliharaan dan perbaikan di masa mendatang.
Kewajiban ini menimbulkan biaya peluang, biaya reputasi, biaya kepuasan pelanggan, dan biaya uang tunai riil, yang seringkali melebihi angka yang tertera di neraca. Cakupan fitur, tenggat waktu, staf, alih daya, keputusan platform, dan pemilihan vendor semuanya memengaruhi tingkat utang keamanan yang diciptakan perusahaan.
Berbeda dengan utang neraca, utang teknis dan keamanan seringkali kurang terlihat oleh kepemimpinan senior. Tentu, metrik kerentanan dan tingkat penyelesaian tiket menunjukkan adanya aktivitas, tapi itu hanya menyoroti dan memberi penghargaan pada aktivitas pembersihan. Pengukuran itu tidak menunjukkan apakah cacat kritis, kategori kesalahan berulang, serta pengaturan bawaan yang berisiko sedang menurun atau meningkat.
Baca juga: Cara Memeriksa Apa yang ChatGPT Ketahui tentang Anda—dan Raih Kembali Privasi Data Anda
Prakarsa Secure by Design dari CISA merekomendasikan agar organisasi:
- Menunjuk seorang eksekutif sebagai pejabat keamanan-by-design utama: Beri satu pemimpin wewenang atas hasil keamanan pelanggan.
- Memberdayakan eksekutif secure-by-design: Biarkan kepemimpinan memengaruhi investasi produk dan pengurangan risiko.
- Sertakan detail secure-by-d e signature laporan keuangan: Perlakukan keamanan pelanggan sebagai masalah kinerja bisnis.
- Berikan laporan keamanan produk berkala kepada dewan: Buat risiko pelanggan terlihat di tingkat tata kelola.
- Ciptakan insentif internal yang bermakna: Beri penghargaan kepada tim yang meningkatkan hasil keamanan pelanggan.
- Bentuk dewan secure-by-design: Koordinasikan tujuan pencegahan lintas tim bisnis dan teknis.
- Bentuk dan kembangkan dewan pelanggan: Gunakan umpan balik pelanggan guna meningkatkan keamanan produk.
CISA menekankan secure-by-design dalam hal penyampaian produk kepada pelanggan. Namun, Anda perlu melangkah lebih jauh: jadikan ini prioritas tidak hanya untuk produk bagi pengguna, tetapi juga untuk semua operasi internal Anda.
Menjadikan Keamanan Aplikasi Bagian dari Budaya Perusahaan
Budaya perusahaan itu aneh dan cair. Di satu sisi ada manual kebijakan dan arahan manajemen. Di sisi lain ada budaya yang sinyal-sinyalnya disampaikan secara eksplisit maupun implisit di semua lini perusahaan.
Kita sudah membahas bagaimana mengintegrasikan keamanan aplikasi ke dalam arahan manajemen. Namun, sama pentingnya (bahkan lebih penting lagi) untuk mengintegrasikan keamanan aplikasi ke dalam budaya perusahaan.
Baca juga: Argumen Menentang Kiamat Pengembang Perangkat Lunak Akibat AI yang Akan Datang
Keamanan tidak bisa hanya menjadi tim yang mengatakan “Tidak.” Kesadaran akan keamanan perlu menjadi praktik bersama, di mana manajer produk menanyakan kasus penyalahgunaan, arsitek menentukan batas kepercayaan, pengembang menggunakan pola yang lebih aman, dan tim keamanan memberikan panduan yang praktis.
Bagi Anda yang menganggap budaya perusahaan tidak bisa berubah cepat, saya punya cerita pengalaman yang membuktikan sebaliknya. Dahulu, saya menjabat CEO di usia sangat muda. Ukuran perusahaan saya berlipat ganda hanya dalam empat bulan. Agar lebih terkelola, saya membagi kelompok kami menjadi departemen: penjualan, teknik, manufaktur, dan lain-lain.
Minggu itu, apraks semua karyawan melapor ke saya dan bekerja sama membantu apa pun yang dibuthil ddan memupuk gairah bersain perusaanyperusahaan dilalukan merupakan lain
Perubah negara sekali adalah bulan biasa a…