Kecerdasan buatan tidak hanya dipakai oleh tim keamanan. Penyerang juga memakainya untuk mempercepat riset target, membuat phishing yang lebih meyakinkan, mencari celah, dan mengotomatisasi langkah serangan. World Economic Forum (WEF) dalam Global Cybersecurity Outlook 2025 melaporkan bahwa 72% organisasi responden melihat peningkatan risiko siber, dan hampir 47% menyebut kemajuan penyerang yang didorong generative AI sebagai kekhawatiran utama^[6].

Karena itu, respons CEO, direktur utama, dan anggota dewan tidak cukup berupa instruksi “beli alat keamanan baru”. National Cyber Security Centre (NCSC) Inggris menegaskan bahwa risiko siber bukan lagi sekadar masalah TI, melainkan prioritas ruang rapat karena insiden dapat menghentikan operasi, merusak reputasi, serta menimbulkan konsekuensi finansial dan hukum^[1]. Dalam konteks perusahaan Indonesia, ini berarti isu siber perlu dibahas oleh pimpinan bisnis, direksi, komisaris, komite risiko, komite audit, dan CISO—bukan hanya oleh tim infrastruktur.

Pertanyaan yang perlu diubah adalah: bukan lagi “bisakah kita mencegah semua serangan?”, melainkan “kalau terjadi pelanggaran, seberapa cepat kita mendeteksi, membatasi dampak, menjaga layanan penting tetap berjalan, dan menjelaskan situasinya kepada pelanggan, regulator, serta pasar?” NCSC juga menekankan perlunya fokus pada hal-hal yang bisa dikendalikan dalam pertahanan siber, sambil tetap siap menghadapi hal-hal yang tidak bisa dikendalikan^[3].

Prinsip awal: dari pertahanan sempurna ke ketahanan bisnis

Di era AI, keamanan siber adalah soal tata kelola bisnis. Perlindungan, deteksi, pembatasan dampak, pemulihan, komunikasi krisis, dan akuntabilitas harus dirancang sebagai satu sistem. NCSC menggambarkan resiliensi siber sebagai kemampuan kepemimpinan untuk menyiapkan, merespons, dan pulih dari serangan siber^[1].

Artinya, dewan tidak perlu tenggelam dalam detail teknis seperti jumlah firewall atau merek perangkat lunak. Yang perlu dilihat adalah dampak bisnis: proses mana yang paling kritis, berapa lama proses itu boleh berhenti, siapa yang mengambil keputusan saat terjadi serangan, apakah backup benar-benar bisa dipulihkan, dan apakah penggunaan AI perusahaan sudah terkendali^[1][3][5].

AI juga tidak boleh hanya dilihat sebagai ancaman dari luar. Penggunaan AI di dalam perusahaan—mulai dari chatbot internal, aplikasi berbasis large language model (LLM), otomasi analitik, sampai sistem rekomendasi—menciptakan risiko baru. WEF menyarankan pendekatan manajemen risiko yang menilai kerentanan dari adopsi AI, dampak bisnisnya, kontrol yang dibutuhkan, dan risiko sisa yang masih diterima organisasi^[5].

Tujuh keputusan yang harus masuk agenda dewan

1. Jadikan risiko siber AI sebagai agenda tetap ruang rapat

Risiko siber tidak seharusnya muncul hanya ketika ada insiden besar atau audit tahunan. NCSC sudah menempatkan risiko siber sebagai prioritas dewan karena dampaknya dapat menyentuh operasi, reputasi, keuangan, dan aspek hukum^[1]. Analisis atas pengungkapan perusahaan pada 2025 juga menunjukkan bahwa penjelasan tentang pengawasan AI dan siber menjadi lebih umum dan lebih rinci^[4].

Agenda dewan perlu bergeser dari laporan teknis menjadi laporan risiko bisnis. CEO dan dewan sebaiknya meminta metrik tentang layanan kritis, celah besar yang belum ditutup, akun dengan hak istimewa, waktu deteksi, waktu pembatasan dampak, waktu pemulihan, dan status kontrol penggunaan AI^[1][5]. WEF juga menempatkan penetapan toleransi risiko untuk teknologi AI sebagai pertanyaan penting bagi pemimpin puncak^[6].

2. Hitung ketahanan proses bisnis kritis

Serangan berbasis AI bisa makin canggih, tetapi yang harus dilindungi tetap sama: kemampuan perusahaan melayani pelanggan, memenuhi kewajiban, menjaga arus kas, dan mematuhi aturan. Karena itu, setiap proses kritis perlu memiliki batas waktu henti yang dapat diterima, pemilik pemulihan, jalur komunikasi, serta alternatif operasional jika sistem utama tidak tersedia^[1][3].

Backup juga tidak cukup hanya “ada”. Dewan perlu tahu apakah backup terisolasi dari serangan ransomware, kapan terakhir diuji, berapa lama pemulihan benar-benar berlangsung, dan apakah pemulihan itu mencakup sistem yang paling penting. Cara berpikirnya sederhana: perusahaan harus menyiapkan diri untuk skenario yang tidak sepenuhnya bisa dikendalikan^[3].

3. Gunakan AI untuk pertahanan, tetapi ukur hasilnya

Jika penyerang memakai AI untuk meningkatkan skala dan kualitas serangan, tim keamanan tidak bisa hanya mengandalkan proses manual. AI dapat membantu pemantauan, deteksi anomali, prioritisasi peringatan, analisis awal, dan otomasi respons. Namun, WEF mengingatkan bahwa adopsi AI harus disertai penilaian kerentanan, dampak bisnis, kontrol, serta risiko sisa^[5][6].

Karena itu, pertanyaan dewan bukan “apakah kita sudah membeli alat AI?”, melainkan “apakah waktu deteksi membaik?”, “apakah peringatan palsu lebih terkendali?”, “apakah investigasi lebih cepat?”, “apakah log audit tersedia?”, dan “siapa yang bertanggung jawab jika sistem otomatis mengambil keputusan keliru?”^[1][5]. AI defensif harus dinilai dari efektivitas operasional, bukan dari label teknologinya.

4. Atur penggunaan AI internal dan keamanan datanya

Risiko AI tidak hanya datang dari penyerang. Di dalam perusahaan, AI dapat menjadi sumber kebocoran data, keputusan yang tidak dapat diaudit, akses berlebihan, atau penggunaan informasi rahasia di alat yang tidak disetujui. WEF menekankan perlunya menilai kerentanan, dampak bisnis, kontrol yang diperlukan, dan risiko sisa dari adopsi AI^[5].

Lembar informasi keamanan siber bersama yang dipublikasikan di situs pertahanan AS juga menyatakan bahwa perlindungan data yang digunakan dalam sistem AI/ML penting untuk memastikan akurasi dan integritas keluaran AI^[2]. Dewan perlu memastikan aturan tertulis untuk AI internal, alat AI eksternal, aplikasi yang terhubung ke LLM, serta kondisi apa saja yang memperbolehkan data rahasia dimasukkan ke sistem AI^[2][5].

Kontrolnya harus mencakup data pelatihan, prompt, log, basis data vektor, data retrieval-augmented generation (RAG), dan bobot model bila relevan. Siapa yang boleh membaca, mengubah, mengekspor, atau menghapus data tersebut harus jelas^[2][5].

5. Sambungkan kewenangan CISO ke keputusan bisnis

CISO atau pimpinan keamanan informasi tidak bisa hanya diberi tanggung jawab tanpa kewenangan. Jika CISO tidak dapat menghentikan pengecualian berbahaya, meminta perbaikan celah kritis, atau menunda peluncuran sistem AI yang belum aman, perusahaan akan kesulitan mengikuti kecepatan serangan modern. Karena NCSC menempatkan risiko siber sebagai prioritas dewan, CISO perlu memiliki jalur pelaporan yang jelas ke level pimpinan^[1].

Dewan perlu memeriksa apakah CISO memiliki hak untuk mengeskalasi risiko yang belum diperbaiki, menolak pengecualian akses yang berisiko, ikut menilai adopsi AI, dan terlibat dalam penilaian risiko pihak ketiga. WEF juga menekankan pentingnya menilai risiko, kontrol, dan risiko sisa AI pada level pemilik risiko senior^[5].

6. Tinjau vendor, SaaS, dan cloud sampai ke kontrak

Batas perusahaan tidak lagi berhenti di jaringan internal. Banyak proses penting bergantung pada SaaS, penyedia cloud, managed service provider, pengembang eksternal, pemroses data, atau anak perusahaan. NCSC menyinggung perlunya meningkatkan resiliensi di sepanjang rantai pasok^[3].

Untuk vendor kritis, dewan perlu meminta kejelasan kontrak tentang persyaratan autentikasi, akses log, batas waktu pemberitahuan insiden, kebijakan penggunaan AI, perlindungan data, backup, hak audit, dan dukungan saat pemulihan. Jika notifikasi vendor terlambat atau log tidak tersedia, keputusan pembatasan dampak dan pemulihan juga akan terlambat^[3][5].

7. Ubah KPI dewan: jangan hanya hitung jumlah insiden

Jumlah insiden penting, tetapi tidak cukup untuk menilai apakah perusahaan makin tangguh. Perusahaan bisa terlihat “aman” karena sedikit laporan, padahal deteksinya lemah. Sebaliknya, organisasi yang matang mungkin melaporkan lebih banyak temuan karena pemantauan membaik.

KPI ruang rapat sebaiknya mengukur kemampuan menemukan, membatasi, dan memulihkan. Fokusnya adalah ketahanan bisnis, bukan sekadar statistik teknis^[1][3].

Area	Indikator yang layak masuk dashboard dewan
Kelangsungan bisnis	Batas waktu henti untuk proses kritis, waktu pemulihan aktual, dan ketersediaan prosedur manual atau alternatif[1][3]
Deteksi dan respons	Waktu deteksi, waktu pembatasan dampak, waktu pemulihan, dan waktu sampai keputusan eksekutif dibuat[1][3]
Identitas dan akses	Jumlah akun istimewa, akun tidak aktif, pengecualian akses, serta kontrol autentikasi untuk akun penting[1][5]
Kerentanan dan aset	Celah kritis yang belum ditutup, perbaikan yang melewati tenggat, dan visibilitas aset yang terekspos ke internet[1][5]
Backup	Ketersediaan backup terisolasi, tingkat keberhasilan uji pemulihan, dan waktu pemulihan aktual[1][3]
Tata kelola AI	Inventaris alat AI, pengecualian penggunaan data rahasia, dan tingkat peninjauan keamanan atas adopsi AI[2][5]
Risiko pihak ketiga	Persyaratan keamanan vendor kritis, batas notifikasi insiden, akses log, dan ketergantungan pemulihan[3][5]

Peta kerja 90 hari untuk CEO dan dewan

Hari 0–30: buat risikonya terlihat

1. Jadwalkan tinjauan khusus risiko siber AI di tingkat dewan^[1][5].
2. Petakan proses bisnis kritis, lalu tentukan batas waktu henti dan waktu pemulihan yang benar-benar dapat dicapai^[1][3].
3. Minta CISO menyerahkan penilaian risiko yang mencakup dua sisi: serangan yang menggunakan generative AI dan risiko dari penggunaan AI internal^[5][6].
4. Hentikan pemasukan data rahasia ke alat AI yang belum disetujui, lalu tetapkan proses pengecualian yang jelas^[2][5].

Hari 31–60: kuatkan kontrol dan kemampuan pemulihan

5. Prioritaskan penguatan autentikasi dan kontrol akses untuk eksekutif, administrator, dan akun dengan hak istimewa^[1][5].
6. Lakukan uji pemulihan dari backup terisolasi dengan skenario ransomware. WEF menyebut ransomware masih menjadi salah satu kekhawatiran utama dalam lanskap 2025^[6].
7. Identifikasi vendor kritis, lalu tinjau syarat tentang log, notifikasi insiden, penggunaan AI, perlindungan data, dan dukungan pemulihan^[3][5].

Hari 61–90: latih keputusan dan kunci metriknya

8. Jalankan simulasi krisis yang melibatkan CEO, CFO, legal, komunikasi, CISO, dan pemimpin unit bisnis^[1][3].
9. Masukkan waktu deteksi, waktu pembatasan dampak, waktu pemulihan, celah kritis yang belum diperbaiki, dan audit penggunaan AI ke dashboard dewan^[1][5].
10. Tinjau ulang jalur pelaporan CISO, kewenangan menghentikan risiko, hak peninjauan keamanan AI, dan kebutuhan anggaran untuk siklus dewan berikutnya^[1][5].

Pertanyaan yang perlu ditanyakan dewan setiap kali rapat

Agar tidak berhenti di dokumen kebijakan, dewan dapat menormalkan pertanyaan-pertanyaan berikut:

• Apakah toleransi risiko perusahaan untuk penggunaan AI sudah dinyatakan dengan jelas dan dipahami oleh pengambil keputusan^[6]?
• Jika proses bisnis kritis berhenti, siapa yang memulai komunikasi pelanggan, legal, regulator, dan publik—dan dalam berapa jam^[1][3]?
• Data yang digunakan sistem AI/ML dapat diubah oleh siapa, dan bagaimana integritasnya diperiksa^[2]?
• Apakah CISO dapat mengeskalasi pengecualian berbahaya atau risiko yang belum diperbaiki langsung ke pimpinan^[1][5]?
• Jika vendor utama mengalami pelanggaran, dalam berapa jam perusahaan tahu, membatasi dampak, dan beralih ke alternatif^[3][5]?

Intinya

Respons manajemen terhadap serangan siber AI bukan janji bahwa perusahaan tidak akan pernah ditembus. Janji yang lebih realistis adalah: perusahaan dapat mendeteksi lebih cepat, membatasi dampak, menjaga layanan penting, memulihkan sistem, dan menjelaskan keputusan secara bertanggung jawab.

Peran CEO dan dewan bukan memilih setiap alat teknis. Peran mereka adalah menetapkan toleransi risiko, memastikan CISO punya kewenangan dan sumber daya, menguji pemulihan secara berkala, serta menjadikan risiko AI dan siber sebagai bagian tetap dari tata kelola bisnis^[1][3][5].