Strategi Eksekutif untuk Menjaga Keamanan dan Kepercayaan Digital Perusahaan di Era Digital

Strategi Eksekutif untuk Menjaga Keamanan dan Kepercayaan Digital Perusahaan di Era Digital

Statistik terbaru memperlihatkan bahwa lebih dari 40 lembaga pemerintah Indonesia terserang ransomware di pusat data nasional pada tahun 2024. Hal ini mengakibatkan gangguan layanan imigrasi dan bandara internasional selama beberapa hari.

Serangan besar pada pusat data tersebut menyulut kritik publik terkait kelemahan backup dan tata kelola keamanan data. Melihat hal tersebut, saat ini organisasi di level atas dituntut tidak sekadar memenuhi regulasi, tetapi memimpin penerapan cyber-resilience demi melindungi reputasi dan operasional.

Melihat Konstelasi Regulasi & Kebijakan di Indonesia

Pada tahun 2022, Indonesia menerbitkan Undang-Undang No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP). Undang-undang ini menegaskan hak subjek data, kewajiban pengendali dan prosesor data, serta menetapkan sanksi administratif hingga pidana bila terjadi pelanggaran serius.

Adanya regulasi ini, menjadi tolok ukur baru kewajiban perusahaan dalam pengelolaan data pribadi. Aktor kunci dalam regulasi keamanan data Indonesia meliputi Kementerian Komunikasi dan Informatika (Kominfo), Badan Siber dan Sandi Negara (BSSN), serta Otoritas Jasa Keuangan (OJK) untuk sektor keuangan.

Di tingkat internasional, General Data Protection Regulation (GDPR) Uni Eropa dan pedoman dari Organization for Economic Co-operation and Development (OECD) mengenai tata kelola data menjadi referensi penting dalam menetapkan standar keamanan dan privasi.

Urgensi regulasi semakin jelas setelah serangan ransomware Brain Cipher / LockBit 3.0 terhadap Pusat Data Nasional Sementara (PDNS) Surabaya pada Juni 2024, dengan tuntutan tebusan USD 8 juta dan gangguan terhadap sekitar 210 layanan pemerintah dan daerah.

Insiden ini menyoroti bahwa regulasi tanpa implementasi nyata dan kontrol operasional tidak cukup memitigasi risiko.

Keamanan Data Menjadi Perhatian Bagi Risiko & Dampak Bisnis

Finansial

Melihat dari sisi finansial, insiden seperti ransomware menyebabkan biaya besar untuk pemulihan, pengamanan kembali, dan denda potensial. Laporan dari Cost of a Data Breach (2024) menyebutkan bahwa rata-rata biaya pelanggaran data pada sektor keuangan dapat mencapai USD 5,9 juta.

Operasional

Dampak dari insiden seperti ini juga dapat mengganggu operasional perusahaan. Permasalahan operasional muncul sebagai downtime layanan publik utama seperti sistem imigrasi, paspor, dan layanan bandara saat pusat data terkena serangan, yang mengganggu kelancaran bisnis dan pelayanan publik.

Reputasi dan Legalitas

Publik dapat kehilangan kepercayaan saat data pribadi terancam bocor. Perusahaan atau institusi yang tidak patuh terhadap UU PDP dan investigasi oleh BSSN atau audit pemerintah bisa menghadapi sanksi hukum serta pemulihan citra yang lama dan mahal.

Kenyamanan Pelanggan

Kepercayaan pelanggan terhadap cara organisasi mengelola dan melindungi informasi pribadi telah menjadi faktor penentu dalam membangun loyalitas jangka panjang.

Laporan PwC (2023) menunjukkan bahwa 85 persen konsumen global menyatakan akan berpindah ke merek lain apabila mereka kehilangan kepercayaan terhadap komitmen suatu perusahaan dalam menjaga privasi data.

Temuan ini menegaskan bahwa keamanan data tidak lagi sekadar kewajiban hukum atau fungsi teknis, melainkan telah bertransformasi menjadi proposisi nilai bisnis yang strategis.

Rekomendasi 7 Kebijakan Strategis yang Dapat Diterapkan Perusahaan

Transformasi keamanan data tidak bisa dilakukan sekaligus, perlu tahapan yang realistis dan terukur. Berikut tujuh langkah strategis yang dapat dijalankan perusahaan berdasarkan horizon waktu:

Audit Pusat Data dan Kesiapan Backup (30–90 hari)

Mulailah dengan assessment menyeluruh terhadap pusat data dan sistem penyimpanan. Pastikan keberadaan backup yang terpisah secara fisik (offsite atau air-gapped) dan uji kemampuan pemulihan data. Langkah ini memberi dasar bagi semua inisiatif berikutnya dan menunjukkan komitmen awal manajemen terhadap ketahanan digital.

Lakukan Data Mapping di Seluruh Unit Bisnis (30–90 hari)

Setiap organisasi perlu tahu dengan jelas di mana data pribadi disimpan, siapa yang mengaksesnya, dan untuk tujuan apa. Proses data inventory dan klasifikasi ini akan membantu perusahaan memenuhi prinsip purpose limitation dan data minimization sesuai UU PDP.

Tunjuk Data Protection Officer (DPO) dengan Akses Langsung ke Board (30–90 hari)

Penunjukan DPO bukan formalitas. Peran ini harus memiliki mandat kuat dan jalur komunikasi langsung ke dewan direksi. DPO berfungsi sebagai penghubung antara tim legal, keamanan, dan operasi bisnis, serta memastikan seluruh inisiatif privasi dijalankan secara konsisten di seluruh organisasi.

Bangun Security Operations Center (SOC) Internal (3–9 bulan)

SOC adalah pusat deteksi dan respons insiden siber. Dalam 6 bulan pertama, perusahaan dapat membentuk hybrid SOC dengan vendor eksternal sambil melatih tim internal. Keberadaan SOC memungkinkan deteksi dini dan memperpendek mean time to detect (MTTD), salah satu KPI keamanan utama yang dipantau oleh board.

Latihan Respons Insiden dan Simulasi untuk Eksekutif (3–9 bulan)

Eksekutif perlu tahu bagaimana mengambil keputusan cepat saat krisis data. Lakukan latihan tabletop exercise untuk mempraktikkan skenario serangan siber, termasuk komunikasi publik dan koordinasi dengan regulator. Latihan ini juga menguji kesiapan organisasi terhadap gangguan reputasi dan operasional.

Terapkan Enkripsi dan Kontrol Akses Ketat (3–9 bulan)

Pastikan semua data sensitif dienkripsi saat tersimpan (at-rest) dan saat ditransfer (in-transit). Implementasikan Identity and Access Management (IAM) dengan prinsip least privilege agar hanya orang yang berwenang dapat mengakses data tertentu. Langkah ini terbukti menurunkan risiko kebocoran data hingga 40% (PwC, 2022).

Integrasikan Privacy by Design dan Otomasi Deteksi Ancaman (9–18 bulan)

Dalam jangka menengah hingga panjang, pastikan seluruh pengembangan produk dan sistem baru mengadopsi prinsip Privacy by Design, artinya privasi diperhitungkan sejak tahap desain, bukan setelah sistem berjalan.

Tambahkan pula automated threat detection berbasis AI dan machine learning untuk mempercepat respon terhadap insiden.Audit independen dan penetration testing rutin setiap tahun menjadi fondasi kepercayaan internal dan eksternal.

Keamanan data dan privasi bukan tugas teknis belaka melainkan strategi organisasi. Di Indonesia, insiden baru-baru ini memperjelas bahwa perusahaan perlu menetapkan keamanan sebagai key performance index (KPI) strategis pada level eksekutif.

Pimpin perubahan dengan tata kelola kuat, regulasi penuh kepatuhan, dan infrastruktur cyber-resilient, bukan hanya untuk melindungi data, tetapi untuk menjaga kepercayaan dan kesinambungan bisnis.