Serangan siber kini bukan lagi isu “jika”, melainkan “kapan”. Mulai dari ransomware, phishing, hingga kebocoran data berskala besar, semua bisa terjadi tanpa pandang bulu baik pada perusahaan besar, instansi pemerintah, maupun bisnis menengah.

Ironisnya, banyak organisasi masih memandang keamanan informasi sebatas urusan teknis tim IT. Padahal, di era digital saat ini, keamanan siber adalah persoalan tata kelola (governance), risiko, dan strategi bisnis.

Di sinilah COBIT 2019 berperan. Framework ini membantu organisasi membangun tata kelola dan manajemen TI yang terstruktur, termasuk dalam menghadapi ancaman hacking dan pencurian data.

Artikel ini akan membahas 5 proses penting dalam COBIT 2019 yang terbukti relevan untuk memperkuat pertahanan siber, sekaligus menjembatani kebutuhan bisnis dan teknologi.

Mengapa COBIT 2019 Relevan untuk Keamanan Siber?

Coba deh bayangin. Di era digital ini, serangan siber itu sudah seperti hujan yang pasti akan datang, bukan cuma sekadar ramalan. Sayangnya, banyak perusahaan yang masih menganggap urusan keamanan siber ini cuma tugas tukang software atau tim IT yang kerjanya pasang firewall. Padahal, lho, ini masalah strategi bisnis dan kepemimpinan.

Di sinilah COBIT 2019 jadi penyelamat. Anggap saja COBIT 2019 ini adalah “kamus panduan” atau kerangka kerja (framework) yang bikin bos-bos di perusahaan (manajemen) dan tim IT bisa ngobrol nyambung. Tujuannya simpel: memastikan semua teknologi yang dipakai itu benar-benar mendukung tujuan bisnis perusahaan, termasuk urusan keamanan.

Kenapa COBIT 2019 ini keren banget untuk memperkuat pertahanan siber?

1. Nggak Cuma Urusan IT, Tapi Urusan Bisnis!

COBIT 2019 memaksa kita melihat risiko siber bukan cuma sebagai “masalah komputer rusak,” tapi sebagai risiko bisnis. Artinya, kalau data bocor, kerugiannya bukan hanya teknis, tapi juga kena nama baik (reputasi), kena denda (hukum/kepatuhan regulasi), dan tentu saja rugi uang (finansial). COBIT memastikan ada tata kelola TI yang menyatukan:

• Governance (Arah): Bos menentukan ke mana arah keamanan.
• Risk Management (Kalkulasi Risiko): Menghitung seberapa besar ancamannya.
• Compliance (Kepatuhan): Memastikan semua aturan dipatuhi.
  Integrasi GRC (Governance, Risk, dan Compliance) ini yang bikin pengelolaan keamanan informasi jadi utuh.

2. Punya Peta Jalan yang Jelas (Anti “Tambal Sulam”)

COBIT 2019 menyediakan langkah-langkah yang terstruktur dan terukur. Jadi, perusahaan nggak cuma gelagapan saat diserang (istilahnya: “memadamkan kebakaran”). Sebaliknya, mereka punya sistem pencegahan jangka panjang. 

Ada proses khusus, misalnya, untuk manajemen risiko siber (APO12 – Manage Risk) yang bikin kita tahu pasti: Di mana celah kita? Apa yang harus diamankan dulu? Semuanya jelas dan terukur, bukan cuma asal tebak.

3. Jago Akur dengan Standar Lain

Salah satu keunggulan COBIT 2019 adalah dia fleksibel dan bisa digabung dengan standar terkenal lainnya, seperti ISO/IEC 27001 (standar sistem keamanan informasi) atau NIST. 

Jadi, COBIT ini seperti “otak besarnya” yang mengendalikan tata kelola, sementara standar lain jadi “tangan teknis” yang menjalankan detail operasionalnya. Ini membuat investasi strategis keamanan jadi lebih efektif.

COBIT 2019 mengubah pandangan: Keamanan siber bukan lagi biaya yang buang-buang uang, tapi investasi penting untuk memastikan bisnis tetap berjalan aman, stabil, dan berkelanjutan.

1. EDM03 – Ensure Risk Optimization

Mengelola Risiko Siber sebagai Risiko Bisnis

COBIT EDM03 adalah jembatan yang paling mahal harganya dalam dunia keamanan siber. Kenapa? Karena proses ini memaksa para pemimpin perusahaan (level Governance) untuk berhenti melihat risiko siber sebagai “masalah teknis” dan mulai melihatnya sebagai ancaman yang bisa membunuh bisnis.

EDM03 itu seperti CEO yang mengeluarkan cek besar untuk membeli asuransi kebakaran termahal, bukan karena takut api, tapi karena dia tahu, jika pabriknya terbakar, yang hilang bukan hanya gedung, tapi juga reputasi, pelanggan, dan masa depan perusahaan.

Poin Pembangkit Gairah:

• Pukulan Telak 3-in-1: Kebocoran data bukan cuma bikin sistem down. Dampaknya adalah triple threat: 1) Risiko Reputasi (kepercayaan publik hancur), 2) Risiko Hukum (kena denda atau tuntutan karena melanggar regulasi), dan 3) Risiko Finansial (biaya perbaikan yang fantastis).
• Investasi Strategis vs. Biaya Buang-Buang: Proses ini mendorong manajemen puncak menentukan risk appetite (seberapa besar kerugian yang sanggup mereka tanggung). Dengan begitu, anggaran keamanan yang dialokasikan jadi TEPAT SASARAN. Kita jadi proaktif dan siap siaga, bukan lagi reaktif (kaget dan panik) saat hacker datang.
• Tren Bisnis: Ini bukan cuma teori. Hari ini, risiko siber sudah resmi masuk sebagai salah satu Top Risk dalam laporan Enterprise Risk Management (ERM) semua perusahaan besar. Artinya, para bos sudah sepakat: jaga data adalah jaga bisnis.

2. APO12 – Manage Risk

Jika EDM03 adalah perintah dari Jenderal (Direksi), maka APO12 adalah Tim Pasukan Khususnya (level Manajemen). Proses ini fokus pada pekerjaan kotor: mencari, mengukur, dan menutup setiap potensi celah. Ini adalah fase paling detail dalam manajemen risiko siber.

APO12 adalah insinyur jembatan yang setiap tiga bulan melakukan inspeksi total. Dia tidak hanya melihat retakan besar, tapi juga mencari karat tersembunyi di baut terkecil.

Bukan Soal Barang Paling Mahal, Perusahaan seringkali sibuk mengamankan server yang paling “terlihat penting,” sementara risiko tersembunyi (misalnya, software lama yang lupa di-update atau password yang terlalu mudah) justru diabaikan. APO12 hadir untuk melibas kebiasaan buruk ini.

Siklus Anti-Kaget

Proses ini menetapkan siklus abadi: Identifikasi Risiko Keamanan Informasi → Analisis Dampak → Penentuan Kontrol Mitigasi. Intinya: tidak ada lagi kata “kaget.”

Jurus Vulnerability Assessment: 

Di sinilah Risk Assessment dan Penilaian Kerentanan (vulnerability assessment) rutin dilakukan. Ini memastikan kita punya penentuan prioritas risiko yang jelas. Jadi, kita tahu pasti, “Celengan data mana yang harus kita jaga mati-matian, dan celah mana yang paling cepat harus ditutup?”

APO12 adalah janji bahwa pertahananmu tidak akan pernah statis. Tim keamananmu akan selalu bergerak, selangkah lebih maju dari para hacker.

3. DSS05 – Manage Security Services

Kalau hacker adalah penjahat yang mengintai, maka DSS05 adalah petugas keamanan 24 jam yang langsung memegang kunci gerbang. Proses ini secara langsung mengatur aktivitas yang paling krusial untuk keamanan operasional harian.

Akses Ketat

Melalui Pengelolaan Akses Pengguna, DSS05 memastikan bahwa hanya pihak yang berwenang yang boleh menyentuh sistem sensitif. Ini adalah pertahanan pertama dari ancaman internal dan eksternal.

Teknologi Canggih

Proses ini mengoptimalkan penggunaan teknologi keamanan seperti firewall, IDS/IPS, dan antivirus.

Mata 24 Jam

Tren utamanya adalah adopsi Security Operations Center (SOC) dan SIEM (Security Information and Event Management). Ini seperti memasang CCTV berteknologi AI yang mampu mendeteksi aktivitas mencurigakan lebih cepat. Ketika serangan datang, respon insiden bisa dilakukan secara terstruktur, bukan panik.

DSS05 memastikan semua protokol keamanan berfungsi dengan baik. Kalau ada penyusup, tim ini yang paling cepat mendeteksi dan memblokirnya.

4. BAI06 – Manage Changes

Banyak Insiden Berasal dari Perubahan yang Buruk

Ironisnya, banyak insiden kebocoran data dan serangan terjadi bukan karena hacker yang super pintar, melainkan karena kesalahan internal misalnya, patch yang salah, konfigurasi yang keliru, atau update tanpa pengujian. BAI06 hadir sebagai “penjaga gerbang perubahan.”

Poin Anti-Kekacauan:

• Alur yang Wajib: BAI06 memastikan setiap perubahan sistem (baik itu software baru, pembaruan jaringan, atau patch keamanan) melalui langkah baku: Direncanakan, Diuji, Disetujui, dan Didokumentasikan.
• Manfaat Utama: Dengan alur yang ketat, risiko yang disebabkan oleh human error dapat ditekan. Ini bukan cuma mencegah celah baru akibat perubahan, tapi juga menjaga stabilitas sistem dan mengurangi downtime (waktu henti sistem).
• BAI06 adalah proses vital yang memastikan pertahanan siber kita tidak jebol karena kita sendiri yang tanpa sengaja membukakan pintunya.

5. APO13 – Manage Security

Membangun Kerangka Keamanan Menyeluruh

Teknologi secanggih apa pun akan percuma jika karyawannya mudah tertipu phishing atau sering membagi password sembarangan. APO13 berfokus pada fondasi non-teknis, yaitu pembentukan dan pemeliharaan Sistem Manajemen Keamanan Informasi secara menyeluruh.

Poin Pembangkit Budaya:

• Fondasi Aturan: Proses ini mencakup pembuatan kebijakan keamanan, standar dan prosedur yang jelas, serta evaluasi efektivitas kontrol secara berkala.
• Faktor Manusia: Bagian paling krusial adalah Awareness dan Pelatihan Karyawan. APO13 memastikan bahwa setiap individu di perusahaan memahami bahwa mereka adalah lapisan pertahanan pertama. Melatih karyawan agar tidak mudah tertipu phishing sama pentingnya dengan memasang firewall.

APO13 memastikan bahwa investasi keamananmu tidak hanya menumpuk perangkat keras. Ia membangun kerangka kerja (framework) dan budaya yang membuat seluruh organisasi terlibat aktif dalam pertahanan siber.

Menggabungkan 5 Proses Ini dalam Satu Strategi

Kelima proses COBIT 2019 yang sudah kita bahas ini tidak berdiri sendiri-sendiri. Justru, kekuatan super mereka terletak pada bagaimana mereka saling melengkapi dan membentuk strategi tunggal yang kita sebut sebagai sistem pertahanan berlapis (defense in depth).

Bayangkan perusahaanmu sebagai sebuah benteng yang harus dijaga dari serangan hacker:

1. EDM03 (Arah & Prioritas): Ini adalah Panglima Tertinggi di puncak benteng. Tugasnya memastikan arah strategi sudah benar dan menetapkan, “Sumber daya mana yang paling berharga? Risiko apa yang tidak boleh kita ambil?” Dialah yang mengalokasikan emas (anggaran keamanan) ke titik-titik paling krusial.
2. APO12 (Manajemen Risiko): Ini adalah Tim Intelijen benteng. Mereka bergerak di dalam dan luar, mencari tahu “Di mana ada retakan di dinding? Seberapa tebal tembok yang harus kita bangun di sana?” Mereka memastikan setiap ancaman sudah dikenali dan diukur secara sistematis.
3. APO13 (Fondasi Keamanan): Ini adalah Ruh dan Disiplin para penjaga. Proses ini membangun budaya keamanan di seluruh prajurit (karyawan). Mereka memastikan setiap penjaga tahu cara memegang senjata (kebijakan) dan tidak mudah dibohongi oleh musuh yang menyamar (phishing).
4. BAI06 (Manajemen Perubahan): Ini adalah Kontraktor Pembangunan yang super hati-hati. Kapan pun ada renovasi (pembaruan sistem atau patch), mereka memastikan pintu gerbang tidak jebol karena kesalahan teknis. Mereka menjamin perubahan sistem tidak menciptakan celah baru.
5. DSS05 (Kontrol Operasional): Ini adalah Pasukan Keamanan 24 Jam yang siaga. Mereka yang memasang kunci (kontrol akses), patroli di malam hari (monitoring), dan langsung bertindak tegas (respon insiden) begitu alarm berbunyi.

Dengan kombinasi ini, keamanan siber perusahaanmu tidak hanya bergantung pada satu lapis teknologi mahal saja. Ia menjadi strategi bisnis yang menyeluruh, melibatkan pimpinan, manajer, proses, dan setiap karyawan. Inilah yang membuat pertahanan siber menjadi matang, proaktif, dan sulit ditembus. Keamanan benar-benar terintegrasi dari ruang direksi hingga ke meja kerja karyawan.

Studi Kasus 

Kisah Nyata: Ketika Perusahaan Hampir Bangkrut Karena Phishing, Lalu Diselamatkan COBIT 2019

Pernah dengar istilah “kalah gara-gara lubang jarum”? Inilah yang dialami sebuah perusahaan jasa keuangan besar. Mereka punya sistem IT super canggih, tapi jebol gara-gara satu hal sepele: kredensial karyawan dicuri melalui serangan phishing.

Kebocoran data pun tak terhindarkan. Perusahaan kaget, reputasi langsung anjlok, dan kerugian finansial membengkak. Masalahnya bukan di teknologi, tapi di strategi keamanan siber yang tidak melibatkan manusia dan proses.

Setelah insiden, mereka tidak lagi panik, melainkan memutuskan untuk berbenah total dengan mengadopsi COBIT 2019. Inilah tiga jurus yang membuat pertahanan mereka kebal:

1. Jurus Detektif: APO12 – Risk Assessment Diperketat

Peran: Mengidentifikasi dan mengukur ancaman.

• Dulu: Phishing dianggap masalah minor.
• Sekarang: Tim keamanan (menggunakan proses APO12) langsung melakukan audit mendalam. Hasilnya? Phishing ditetapkan sebagai prioritas risiko paling mematikan. Mereka jadi tahu, ini nih, lubang paling bahaya yang harus ditutup duluan. Mereka fokus total untuk mengeliminasi ancaman pencurian data lewat email.

2. Jurus Pendidikan: APO13 – Awareness Karyawan Ditingkatkan

Peran: Membangun benteng manusia.

• Dulu: Pelatihan keamanan membosankan dan diabaikan.
• Sekarang: Perusahaan menyadari, karyawan adalah firewall hidup mereka. Dengan proses APO13, pelatihan dibuat wajib dan realistis, lengkap dengan simulasi phishing yang menantang.
• Fokus: Menciptakan budaya keamanan di mana setiap karyawan sadar: password adalah aset bisnis dan mereka adalah garis pertahanan siber pertama.

3. Jurus CCTV 24 Jam: DSS05 – Monitoring Akses Diperkuat

Peran: Mengawasi dan memblokir seketika.

• Dulu: Sistem monitoring akses biasa-biasa saja.
• Sekarang: Perusahaan mengadopsi SIEM (sistem pengawasan canggih) sebagai bagian dari DSS05. Ini seperti memasang CCTV berteknologi AI. Setiap upaya login aneh atau aktivitas mencurigakan langsung memicu alarm keras.

Hasilnya? Serangan Serupa Langsung Auto-Blok

Beberapa bulan kemudian, hacker mencoba lagi. Tapi kali ini, karyawan langsung melaporkan email mencurigakan (APO13 berhasil). Ketika hacker mencoba masuk menggunakan kredensial curian (yang sudah diantisipasi), sistem DSS05 langsung mendeteksi pola aneh itu dan memblokirnya seketika.

Perusahaan berhasil menyelamatkan diri. Studi kasus ini membuktikan: COBIT 2019 membuat pertahanan siber tidak hanya bergantung pada teknologi, tetapi pada sistem pengelolaan keamanan informasi yang terstruktur, proaktif, dan melibatkan setiap orang.

Kesimpulan

Menghadapi ancaman hacking dan pencurian data hari ini tidak akan pernah cukup hanya dengan menggelontorkan uang untuk membeli teknologi mahal terbaru. Kenyataannya, tanpa strategi yang jelas, firewall tercanggih sekalipun bisa jebol hanya karena kesalahan manusia atau proses yang kacau.

Di sinilah letak kekuatan sejati dari COBIT 2019. Framework ini bukan cuma menawarkan daftar periksa, melainkan sebuah fondasi tata kelola yang terstruktur untuk mengelola risiko siber secara keseluruhan.

Dengan menerapkan 5 proses penting COBIT, organisasi bertransformasi. Mereka tidak hanya bereaksi (reaktif) terhadap serangan, tetapi menjadi proaktif, membangun sistem keamanan yang matang, kuat, dan berlapis (defense in depth). Ini adalah kunci untuk memastikan setiap upaya pertahanan siber benar-benar selaras dengan tujuan bisnis perusahaan.

FAQ

1. “COBIT 2019 ini terlalu besar nggak sih, buat perusahaan yang skalanya kecil?”

Tidak sama sekali. Salah satu keunggulan COBIT 2019 adalah fleksibilitasnya. Framework ini bisa kamu “potong dan sesuaikan” (tailoring) dengan skala dan kompleksitas organisasimu. Jadi, perusahaan kecil pun bisa fokus hanya pada proses-proses yang paling relevan dan butuh perbaikan segera, tanpa harus pusing mengimplementasikan semuanya.

2. “Kalau sudah pakai ISO 27001, perlu pakai COBIT 2019 lagi nggak? Bukannya sama-sama standar keamanan?”

Perlu! Dan justru itu kerennya. COBIT 2019 itu tidak menggantikan ISO 27001; dia justru melengkapi. Anggap COBIT sebagai “otak” yang mengatur tata kelola (governance) dan strategi, sementara ISO 27001 adalah “tangan teknis” yang fokus pada detail teknis sistem keamanan informasi (SMKI). Keduanya bisa diintegrasikan dengan sangat baik, membuat strategi keamananmu jadi utuh.

3. “Berapa lama waktu yang dibutuhkan untuk menyelesaikan implementasi COBIT 2019?”

Wah, ini sangat bervariasi. Tidak ada jawaban pasti. Waktu implementasi sangat tergantung pada tingkat kesiapan organisasimu saat ini dan seberapa luas ruang lingkup yang ingin kamu terapkan. Jika kamu hanya memilih beberapa proses yang krusial, tentu akan lebih cepat daripada menerapkan seluruh framework.

4. “Apakah wajib menerapkan semua proses dalam COBIT 2019? Kok banyak banget ya kodenya?”

Santai, kamu tidak harus menerapkan semua prosesnya! COBIT 2019 dirancang untuk dipilih. Filosofinya adalah: “Ambil apa yang kamu butuhkan.” Fokuslah pada proses-proses (seperti EDM03, APO12, atau DSS05 yang sudah dibahas) yang paling relevan untuk mencapai tujuan bisnis dan mengatasi risiko keamanan informasi terbesar di perusahaanmu.

5. “Sebenarnya, siapa yang paling bertanggung jawab penuh atas implementasi COBIT 2019?”

 Bukan cuma tim IT! Tanggung jawab implementasi ini adalah kolaborasi. Tentu saja tim IT dan manajemen risiko memegang peran besar, tapi COBIT menuntut adanya kolaborasi aktif dari manajemen puncak (untuk arah governance) dan unit bisnis (karena mereka pemilik proses dan data). Keamanan siber adalah urusan semua orang.