Mengapa Budaya Keamanan Sangat Penting untuk Mengurangi Risiko Siber

Selama dua dekade terakhir, banyak organisasi telah membangun arsitektur keamanan yang semakin canggih. Namun kenyataannya, teknologi saja tidak cukup untuk menekan risiko siber. Seiring perkembangan sistem pertahanan, para penyerang kini lebih sering menyasar faktor manusia dibanding sekadar kelemahan teknis.

Faktanya, sebagian besar kasus pelanggaran siber modern tidak dimulai dari celah teknologi zero-day, melainkan dari kesalahan atau kelengahan manusia. Data dari Verizon Data Breach Investigations Report menunjukkan hal yang konsisten: selama lima tahun terakhir, faktor manusia menjadi penyebab terbesar pelanggaran di seluruh dunia. Pada laporan tahun 2024, hampir 60% insiden melibatkan unsur manusia.

Sayangnya, masih banyak organisasi yang salah kaprah. Istilah “manusia adalah mata rantai terlemah” kerap membuat karyawan dipandang sebagai penyebab utama. Padahal, masalah sesungguhnya ada pada lingkungan kerja yang tidak mendukung perilaku aman. Banyak kebijakan keamanan dibuat terlalu rumit, menggunakan bahasa teknis yang membingungkan, atau lebih fokus memenuhi kebutuhan auditor daripada membantu karyawan sehari-hari.

Mengurangi risiko manusia bukan sekadar menambah teknologi atau memperketat aturan. Kuncinya adalah membangun budaya keamanan yang sehat — budaya yang memudahkan, mendorong, dan memperkuat perilaku aman. Tanpa itu, bahkan sistem teknis terbaik pun tetap bisa digagalkan oleh faktor manusia.

Apa Itu Budaya Keamanan?

Setiap organisasi pasti sudah memiliki budaya keamanan. Pertanyaannya: apakah itu budaya yang diinginkan, atau justru sebaliknya?

Budaya keamanan adalah cara pandang, sikap, dan keyakinan bersama terhadap keamanan siber di dalam organisasi. Misalnya:

• Apakah karyawan percaya keamanan itu penting?
• Apakah mereka merasa punya tanggung jawab menjaga keamanan?
• Apakah mereka sadar bisa menjadi target serangan?

Jika jawabannya positif, maka perilaku aman akan terbentuk secara alami. Namun, jika keamanan dianggap hanya sebagai beban atau tugas orang lain, risiko akan meningkat pesat.

Masalahnya bukan karena orang tidak peduli. Masalahnya adalah keamanan belum benar-benar melekat dalam cara mereka bekerja. Agar karyawan berperilaku aman, lingkungan kerja harus mendukung mereka. Seperti halnya aspek lain, perilaku manusia dipengaruhi oleh apa yang dihargai, dimudahkan, dan diharapkan.

Ada empat pilar utama yang membentuk budaya keamanan:

1. Sinyal Kepemimpinan
   Budaya dimulai dari atas. Jika manajemen memberikan anggaran, menjadikannya prioritas, atau menempatkan peran CISO secara strategis, karyawan akan menangkap pesan bahwa keamanan memang penting.
2. Keterlibatan Tim Keamanan
   Bagi karyawan, wajah keamanan sehari-hari adalah tim keamanan itu sendiri. Apakah mereka ramah atau kaku? Membantu atau menghambat? Jelas atau membingungkan? Sikap tim keamanan sangat memengaruhi persepsi dan perilaku karyawan.
3. Desain Kebijakan
   Kebijakan adalah interaksi rutin antara karyawan dan keamanan. Jika terlalu rumit dan teknis, karyawan akan mencari jalan pintas. Sebaliknya, kebijakan yang sederhana dan mudah dipahami akan memperkuat keyakinan bahwa keamanan bisa dijalankan.
4. Pelatihan Keamanan
   Pelatihan sering jadi sorotan, tapi juga yang paling sering gagal. Jika materinya membosankan, generik, atau usang, karyawan menganggap keamanan tidak penting. Namun jika pelatihan menarik, relevan, dan aplikatif, ia menjadi penguat perilaku yang aman.

Keempat pilar ini juga bisa menjadi indikator untuk mengukur budaya Anda. Cobalah tanyakan kepada karyawan apa yang mereka rasakan tentang kepemimpinan, tim keamanan, kebijakan, dan pelatihan. Jawaban mereka akan menunjukkan apakah budaya keamanan mendukung organisasi atau justru sebaliknya.

Menyatukan Empat Pilar Budaya

Dukungan eksekutif memang penting, tapi yang paling berpengaruh adalah pengalaman nyata karyawan sehari-hari. Jika pesan kepemimpinan tidak selaras dengan kebijakan, interaksi tim keamanan, atau pelatihan, kepercayaan akan cepat luntur.

Contoh sederhana: karyawan diberi tahu bahwa keamanan adalah prioritas, tapi kenyataannya kebijakan sulit dipahami, pelatihan tidak relevan, dan tim keamanan terasa menghalangi. Akibatnya, keamanan dianggap hanya formalitas.

Sebaliknya, ketika empat pilar — kepemimpinan, tim keamanan, kebijakan, dan pelatihan — berjalan selaras, budaya keamanan akan terasa nyata. Karyawan tidak hanya patuh karena terpaksa, tetapi benar-benar menjadi bagian aktif dalam menjaga organisasi.