Strategi CISO 2026: Amankan Bisnis di Era AI

Memasuki tahun 2026, peran Chief Information Security Officer (CISO) semakin kompleks sekaligus semakin strategis. Transformasi digital yang dipercepat oleh adopsi Artificial Intelligence (AI) membuat lanskap keamanan siber berubah drastis. Jika sebelumnya CISO lebih banyak berfokus pada perlindungan infrastruktur dan kepatuhan regulasi, kini mereka juga harus memahami dinamika AI, risiko otonomi sistem, hingga implikasi bisnis dari setiap keputusan keamanan.

Dalam edisi terbaru Cloud CISO Perspectives, Taylor Lehmann, Director of Healthcare and Life Sciences di Office of the CISO, membagikan pandangan berdasarkan pengalaman panjangnya di bidang keamanan. Ia menegaskan bahwa tahun 2026 bukan sekadar tahun adaptasi, melainkan tahun penentuan arah. AI telah mengubah cara perusahaan beroperasi, mengambil keputusan, dan melayani pelanggan. Karena itu, pendekatan keamanan pun harus ikut berevolusi.

Menjadi CISO hari ini berarti memimpin di tengah arus permintaan yang tak pernah berhenti: dari kebutuhan audit, tuntutan kepatuhan, proyek transformasi digital, hingga insiden keamanan yang bisa terjadi kapan saja. Namun di balik tekanan tersebut, terdapat peluang besar untuk membangun fondasi keamanan yang benar-benar tangguh dan berorientasi masa depan.

Berikut lima prioritas utama yang perlu menjadi fokus para CISO di tahun 2026.

1. Menyelaraskan Kepatuhan dan Ketahanan Operasional
   Banyak organisasi masih menjadikan kepatuhan terhadap regulasi sebagai tujuan akhir keamanan siber. Padahal, kepatuhan seharusnya menjadi titik awal, bukan garis finis. Regulasi umumnya lahir sebagai respons atas insiden yang telah terjadi di masa lalu. Artinya, jika strategi keamanan hanya berfokus pada kepatuhan, organisasi berisiko tertinggal dalam menghadapi ancaman baru yang terus berkembang.

   Ketahanan operasional (operational resilience) harus menjadi prioritas utama. Sistem tidak hanya harus “patuh aturan”, tetapi juga mampu tetap berjalan, tetap aman, dan tetap tersedia meskipun menghadapi serangan siber, gangguan teknis, atau penyalahgunaan AI.

   Pendekatan ini menuntut perubahan pola pikir. Alih-alih bertanya, “Apakah kita sudah memenuhi standar regulasi?”, CISO perlu bertanya, “Apakah sistem kita tetap bisa berfungsi jika terjadi skenario terburuk?”Dalam konteks AI, tantangan ini semakin besar. Perkembangan teknologi dan regulasi berjalan sangat cepat. Model AI terus diperbarui, data terus bertambah, dan cara penggunaan AI dalam organisasi pun berkembang dinamis. Tanpa koordinasi yang kuat antara tim keamanan, tim teknologi, dan manajemen bisnis, ketahanan operasional sulit dicapai.

   Jika sistem dirancang sejak awal untuk tangguh, maka kepatuhan akan menjadi konsekuensi alami dari desain tersebut — bukan sekadar dokumen administratif.

2. Mengamankan Rantai Pasok AI dari Ujung ke Ujung
   AI tidak berdiri sendiri. Di balik satu model AI, terdapat ekosistem yang kompleks: data pelatihan, pipeline pengembangan, kode aplikasi, infrastruktur cloud, hingga integrasi dengan sistem lain. Semua komponen ini membentuk AI supply chain.

   Salah satu tantangan terbesar di era AI adalah memahami mengapa sebuah model menghasilkan keputusan tertentu. Jika terjadi kesalahan, apakah itu akibat bias data? Kesalahan desain? Atau intervensi pihak yang berniat jahat?

   Karena itu, CISO harus memastikan adanya visibilitas menyeluruh terhadap seluruh komponen AI. Organisasi perlu mengetahui asal-usul model, sumber data yang digunakan, siapa yang mengaksesnya, serta bagaimana model tersebut diperbarui.Konsep ini mirip dengan keamanan rantai pasok perangkat lunak, seperti penerapan Supply-chain Levels for Software Artifacts (SLSA) dan Software Bill of Materials (SBOM). Namun dalam konteks AI, kompleksitasnya lebih tinggi karena melibatkan data dinamis dan sistem yang bersifat non-deterministik.

   Tanpa pengamanan rantai pasok yang kuat, risiko manipulasi model, penyusupan kode berbahaya, atau penyalahgunaan data menjadi sangat besar. Bahkan satu celah kecil dapat berdampak luas terhadap keputusan bisnis yang dihasilkan AI.Keamanan rantai pasok AI bukan lagi opsi tambahan, melainkan fondasi utama bagi setiap inisiatif AI yang berkelanjutan.

3. Menguasai Manajemen Identitas di Dunia Agentic AI
   Jika ada satu elemen yang menjadi penghubung seluruh sistem digital modern, itu adalah identitas. Di masa lalu, identitas terutama merujuk pada pengguna manusia. Kini, identitas mencakup lebih banyak entitas: mesin, aplikasi, model AI, data, hingga agen otonom.Dalam dunia agentic AI manajemen identitas menjadi krusial. Setiap entitas harus memiliki identitas yang jelas dan terkelola dengan baik. Organisasi perlu mampu menjawab pertanyaan-pertanyaan berikut:

   • Siapa yang menggunakan model AI?
   • Apa identitas model tersebut?
   • Apa identitas kode yang menjalankan proses?
   • Siapa pengguna akhir yang menerima hasilnya?

   Kemampuan membedakan dan mencatat semua identitas ini menjadi kunci untuk mengurangi dampak insiden keamanan. Insiden mungkin tidak dapat dihindari sepenuhnya, tetapi “blast radius” atau dampaknya dapat dibatasi jika akses dan aktivitas setiap entitas terdokumentasi dengan baik.Industri keuangan umumnya sudah relatif matang dalam manajemen identitas. Namun sektor lain, seperti kesehatan, masih beradaptasi. Di bidang medis, misalnya, muncul pertanyaan besar: sejauh mana AI agent boleh terlibat dalam diagnosis dan penentuan terapi?

   Sebagian pihak beranggapan bahwa manusia akan selalu menjadi pengambil keputusan akhir. Namun tren menunjukkan bahwa AI semakin diberi ruang otonomi yang lebih besar. Oleh karena itu, penguatan manajemen identitas bukan lagi pilihan, melainkan keharusan.

4. Bertahan dan Memulihkan dengan Kecepatan Mesin
   Ancaman berbasis AI mampu bergerak dengan sangat cepat. Serangan otomatis dapat terjadi dalam hitungan detik, mengeksploitasi kerentanan sebelum tim keamanan sempat bereaksi.Dalam situasi ini, respons manual tidak lagi memadai. Organisasi harus mampu mendeteksi, merespons, dan menerapkan mitigasi dalam hitungan detik bahkan milidetik. CISO perlu mengevaluasi beberapa hal penting:

   • Seberapa cepat patch dapat diterapkan?
   • Bagaimana sistem beroperasi ketika sebagian layanan terganggu?
   • Seberapa cepat sistem dapat dibangun ulang dari nol?

   Pengurangan dwell time menjadi indikator penting. Targetnya bukan lagi jam, tetapi menit atau bahkan detik.Pendekatan yang dapat mendukung tujuan ini meliputi:

   • Arsitektur sementara (ephemeral architecture) yang mudah diganti
   • Otomatisasi deployment dan patching
   • Manajemen kerentanan terintegrasi
   • Sistem logging dan audit yang efisien serta real-time

   Kecepatan menjadi faktor penentu. Dalam era AI, siapa yang paling cepat beradaptasi, dialah yang bertahan.

5. Meningkatkan Tata Kelola AI dengan Konteks dan Pengujian Mendalam
   Tata kelola AI (AI governance) menjadi topik yang paling sering dibahas di kalangan eksekutif. Namun tata kelola bukan sekadar kebijakan tertulis. Ia harus mencerminkan pemahaman teknis, konteks bisnis, serta risiko regulasi.Organisasi perlu menentukan risiko mana yang benar-benar penting dan berdampak besar terhadap bisnis. Contohnya, bagaimana mengatur AI agent yang membantu menentukan dosis obat bagi pasien di ruang gawat darurat? Di sini, risiko teknis bertemu dengan risiko etis dan hukum.

   Tata kelola AI yang efektif harus memasukkan konteks bisnis secara mendalam. Dengan begitu, organisasi tidak hanya mengurangi risiko, tetapi juga membuka peluang inovasi yang lebih canggih dan bernilai tinggi.Selain itu, pengujian lanjutan seperti AI red teaming semakin penting. Melalui simulasi serangan dan evaluasi ketahanan, organisasi dapat menemukan celah sebelum dimanfaatkan oleh pihak jahat.

   Governance yang matang bukan berarti membatasi inovasi, melainkan memastikan inovasi berjalan dengan aman dan bertanggung jawab.

 
Membangun Keamanan yang Siap Masa Depan

Tahun 2026 menjadi titik krusial bagi para CISO. AI telah menjadi fondasi baru operasional bisnis, bukan lagi sekadar alat pendukung. Dalam situasi ini, keamanan siber tidak bisa lagi bersifat reaktif atau sekadar memenuhi kewajiban regulasi.

CISO harus memimpin transformasi dengan fokus pada lima hal utama: menyelaraskan kepatuhan dan ketahanan, mengamankan rantai pasok AI, memperkuat manajemen identitas, meningkatkan kecepatan respons hingga setara mesin, serta membangun tata kelola AI yang kontekstual dan berbasis pengujian mendalam.

Dengan kembali pada prinsip dasar keamanan siber — visibilitas, kontrol, dan ketahanan — namun disesuaikan dengan realitas AI modern, organisasi dapat membangun sistem yang tidak hanya aman hari ini, tetapi juga siap menghadapi tantangan masa depan.