Keyword utama: CFO cyber risk budgeting guide. Banyak organisasi masih melihat keamanan siber sebagai pusat biaya (cost center) yang sulit diukur. Padahal, dari perspektif CFO, anggaran keamanan siber adalah keputusan alokasi modal untuk mengurangi risiko operasional, menjaga kelangsungan bisnis, dan melindungi nilai perusahaan. Tantangannya: risiko siber dinamis, ancaman berubah cepat, dan hasil investasi keamanan jarang terlihat sampai terjadi insiden.

Artikel ini membantu CFO dan tim finance menyusun anggaran cyber risk yang berbasis risiko, dapat dipertanggungjawabkan di hadapan manajemen dan dewan, serta fokus pada kontrol defensif yang paling berdampak.

Mengapa CFO Perlu Memimpin Diskusi Anggaran Cyber Risk

Cybersecurity bukan hanya isu TI. Dampak insiden siber hampir selalu berakhir di wilayah CFO: kehilangan pendapatan, downtime operasi, biaya pemulihan, tuntutan hukum, denda kepatuhan, kenaikan premi asuransi, dan penurunan valuasi akibat hilangnya kepercayaan pasar.

CFO berada pada posisi ideal untuk menjembatani bahasa teknis dan bahasa bisnis: mengubah “kerentanan” menjadi “eksposur finansial”. Ketika CFO terlibat sejak awal, organisasi cenderung menghindari pola belanja reaktif (panik setelah insiden) dan beralih ke pola belanja yang lebih stabil, terukur, dan bertahap.

Prinsip Dasar: Anggaran Cyber Risk Harus Berbasis Risiko Bisnis

Anggaran terbaik bukan yang terbesar, tetapi yang paling tepat sasaran. Prinsipnya:

  • Mulai dari aset dan proses bisnis kritikal: sistem pembayaran, ERP, data pelanggan, produksi, rantai pasok, layanan digital.
  • Ukur risiko sebagai kombinasi dampak dan kemungkinan: fokus pada skenario yang realistis dan relevan dengan industri.
  • Prioritaskan kontrol yang menurunkan risiko paling besar: misalnya mengurangi kemungkinan serangan berhasil, mempercepat deteksi, atau mengurangi dampak ketika insiden terjadi.
  • Masukkan biaya siklus hidup: lisensi, implementasi, pelatihan, operasional, dan biaya perubahan proses.
  • Seimbangkan pencegahan, deteksi, respons, dan pemulihan: terlalu berat di pencegahan tanpa respons akan mahal saat insiden benar-benar terjadi.

Langkah Praktis Menyusun Anggaran: Dari Risiko ke Angka

1) Buat peta “crown jewels” perusahaan

Mulai dengan daftar aset dan proses yang bila terganggu akan memukul pendapatan atau operasional. Contoh kategori:

  • Data pelanggan dan data keuangan
  • Sistem transaksi dan kanal digital (web, mobile, API)
  • Sistem produksi dan operasional (OT/ICS bila ada)
  • Identitas pengguna dan akses istimewa (privileged access)
  • Vendor kritikal (payment gateway, cloud, logistik, BPO)

Dari sini CFO bisa meminta tim keamanan membuat pemetaan: aset mana yang paling rentan dan apa dampak finansialnya bila terjadi downtime, kebocoran data, atau fraud.

2) Gunakan pendekatan skenario (scenario-based budgeting)

Alih-alih mendanai daftar alat (tools), gunakan skenario risiko yang jelas. Contoh skenario defensif:

  • Ransomware menyebabkan downtime 3–7 hari pada sistem order-to-cash
  • Kredensial admin bocor memicu pengambilalihan akun (account takeover)
  • Kebocoran data pelanggan memicu notifikasi regulator dan class action
  • Gangguan vendor (supply chain incident) menghentikan proses inti

Untuk setiap skenario, definisikan: dampak operasional, dampak finansial, kontrol yang mengurangi kemungkinan, serta kontrol yang mempercepat pemulihan.

3) Kuantifikasi risiko secara masuk akal (tanpa berpura-pura presisi)

CFO tidak memerlukan angka “sempurna”; yang dibutuhkan adalah estimasi yang konsisten untuk membandingkan prioritas. Anda bisa menggunakan rentang (low–mid–high) untuk:

  • Biaya downtime per hari (pendapatan tertunda + biaya lembur + penalti SLA)
  • Biaya respons insiden (forensik, legal, PR, call center)
  • Biaya pemulihan (rebuild sistem, restore backup, rehardening)
  • Biaya kepatuhan (audit tambahan, denda bila relevan)

Jika organisasi sudah matang, pendekatan kuantitatif seperti kerangka FAIR dapat membantu. Namun untuk banyak perusahaan, model sederhana berbasis skenario sudah cukup untuk membangun disiplin anggaran.

4) Kelompokkan belanja menjadi CapEx/OpEx dan “run vs change”

Agar diskusi finance lebih tajam, kategorikan:

  • Run (operasional): SOC/monitoring, lisensi EDR, SIEM, vulnerability management, pemeliharaan, patching rutin.
  • Change (transformasi): implementasi IAM baru, segmentasi jaringan, program zero trust, modernisasi backup, hardening cloud.
  • CapEx: proyek implementasi besar, perangkat tertentu, atau infrastruktur (tergantung kebijakan akuntansi).
  • OpEx: langganan SaaS, managed services, pelatihan, audit tahunan.

Struktur ini membantu CFO melihat apakah anggaran terlalu berat di “run” (sekadar mempertahankan) atau terlalu ambisius di “change” tanpa kesiapan operasional.

Komponen Anggaran yang Umumnya Memberi Dampak Tinggi

Berikut area defensif yang sering menjadi “high leverage” untuk menurunkan risiko, terutama terhadap ransomware, kebocoran data, dan kompromi akun.

1) Identitas dan akses (IAM) sebagai fondasi

  • Multi-factor authentication (MFA) untuk akses kritikal
  • Privileged access management (PAM) atau kontrol akses istimewa yang ketat
  • Proses joiner-mover-leaver yang rapi agar akses tidak “nyangkut”

Kontrol identitas yang baik sering kali menurunkan kemungkinan insiden besar secara signifikan, karena banyak serangan bermula dari kredensial yang dicuri atau disalahgunakan.

2) Ketahanan ransomware: backup, recovery, dan latihan

  • Backup terisolasi/immutable untuk data dan sistem penting
  • Uji pemulihan (restore test) berkala, bukan hanya “backup berhasil”
  • Rencana pemulihan terukur: RTO/RPO yang disepakati bisnis

Dari sisi CFO, ini area yang mudah dihubungkan ke biaya downtime. Investasi yang mempercepat recovery sering lebih mudah dibenarkan dibanding alat tambahan yang manfaatnya tidak terlihat.

3) Deteksi dan respons: SOC, logging, dan IR retainer

  • Endpoint detection and response (EDR) yang dikelola baik
  • Sentralisasi log untuk sistem kritikal (dengan retensi memadai)
  • Runbook incident response dan latihan tabletop lintas fungsi
  • Kontrak retainer forensik/IR untuk mempercepat respons saat krisis

Tujuannya menurunkan MTTD/MTTR (mean time to detect/respond). Semakin cepat insiden diatasi, semakin kecil biaya totalnya.

4) Manajemen kerentanan dan patching yang realistis

  • Inventaris aset yang akurat (tanpa ini, patching tidak pernah tuntas)
  • Prioritisasi berbasis risiko (aset kritikal + exposure)
  • Penguatan konfigurasi (hardening) untuk server, cloud, dan perangkat jaringan

CFO dapat mendorong KPI yang sehat: bukan “berapa banyak vulnerability ditutup”, melainkan “berapa cepat kerentanan berisiko tinggi di aset kritikal ditangani”.

5) Risiko pihak ketiga (vendor) dan cloud governance

  • Proses due diligence vendor berbasis tiering (kritikal vs non-kritikal)
  • Persyaratan keamanan dalam kontrak: notifikasi insiden, audit, SLA
  • Kontrol konfigurasi cloud dan pemantauan misconfiguration

Insiden vendor dapat menghentikan operasi tanpa ada “kesalahan internal”. Ini alasan kuat untuk mengalokasikan anggaran pada tata kelola pihak ketiga, bukan hanya perangkat keamanan internal.

Metrik yang Relevan untuk CFO (Bukan Sekadar Jumlah Alert)

CFO membutuhkan metrik yang menghubungkan keamanan ke risiko dan kinerja. Pilih metrik yang bisa diaudit dan dipantau tren-nya:

  • Coverage: persentase aset kritikal yang terlindungi EDR, MFA, backup teruji
  • Resilience: pencapaian RTO/RPO untuk sistem prioritas
  • Respons: tren MTTD/MTTR untuk insiden yang material
  • Eksposur: jumlah temuan risiko tinggi pada aset kritikal yang melewati SLA perbaikan
  • Kepatuhan: hasil audit, gap yang berdampak pada risiko, bukan checklist semata
  • Outcome drill: hasil latihan tabletop, temuan dan perbaikan pascalatihan

Kombinasikan metrik “leading” (coverage, patching SLA) dan “lagging” (insiden, downtime) agar keputusan anggaran tidak hanya reaktif.

Menyelaraskan Anggaran dengan Kerangka Kerja dan Kewajiban Kepatuhan

Untuk memudahkan komunikasi dengan dewan dan auditor, gunakan kerangka kerja sebagai struktur, misalnya NIST CSF (Identify, Protect, Detect, Respond, Recover). Kuncinya: kerangka kerja adalah alat prioritisasi, bukan tujuan akhir.

Dari sisi kepatuhan, pastikan anggaran mencakup hal yang sering terlupakan: pelatihan dan awareness, dokumentasi prosedur, evidence untuk audit, serta perbaikan berkelanjutan.

Strategi Penyusunan Anggaran Tahunan: Template Logika CFO

Berikut logika yang biasanya efektif saat menyusun proposal anggaran cyber risk:

  • Risk register → Top 5 skenario: pilih skenario yang paling material terhadap pendapatan, operasional, dan reputasi.
  • Kontrol inti → gap analysis: apa yang sudah ada, apa yang kurang pada aset kritikal.
  • Inisiatif prioritas: 6–12 bulan (quick wins) dan 12–24 bulan (transformasi).
  • Biaya total kepemilikan (TCO): termasuk implementasi, operasional, dan kebutuhan SDM.
  • Target metrik: coverage, RTO/RPO, SLA patching, latihan IR.
  • Risiko residual: risiko yang tersisa setelah inisiatif didanai, plus rencana mitigasi tambahan.

Jika ada pemotongan anggaran, CFO dapat meminta tim keamanan menunjukkan “trade-off risk”: kontrol mana yang ditunda dan risiko apa yang meningkat. Diskusi menjadi transparan, bukan emosional.

Kesalahan Umum CFO Saat Menganggarkan Cybersecurity (dan Cara Menghindarinya)

  • Terlalu fokus pada alat baru: tanpa proses, konfigurasi, dan orang yang menjalankan, alat hanya menambah kompleksitas.
  • Mengabaikan biaya operasional: SOC, tuning, response, dan latihan sering memakan waktu lebih besar dari implementasi awal.
  • “One-and-done” compliance: audit lolos tidak otomatis berarti risiko rendah. Pastikan kontrol berjalan konsisten.
  • Tidak menganggarkan recovery: pemulihan dan ketahanan (backup/BCP) sering jadi penyelamat saat pencegahan gagal.
  • Kurang koordinasi lintas fungsi: legal, HR, procurement, dan komunikasi krisis harus masuk rencana dan anggaran.

Roadmap 90 Hari untuk Memperbaiki Kualitas Anggaran Cyber Risk

Jika Anda CFO yang ingin meningkatkan disiplin anggaran tanpa menunggu siklus tahunan, ini langkah cepat yang realistis:

  • Hari 1–30: identifikasi aset kritikal, hitung biaya downtime kasar, dan tetapkan 3–5 skenario risiko utama.
  • Hari 31–60: lakukan gap analysis kontrol inti (MFA, EDR coverage, backup teruji, logging), serta susun daftar inisiatif prioritas.
  • Hari 61–90: tetapkan metrik, SLA, dan struktur pelaporan ke komite risiko/dewan; finalisasi TCO dan rencana implementasi.

Hasilnya adalah “cerita anggaran” yang kuat: jelas risikonya, jelas intervensinya, jelas metriknya.

FAQ: CFO Cyber Risk Budgeting Guide

Apa patokan ideal persentase anggaran cybersecurity dari total IT?

Tidak ada angka universal yang cocok untuk semua perusahaan. Patokan sering dipakai sebagai titik awal, tetapi keputusan terbaik datang dari profil risiko: industri, paparan regulasi, ketergantungan pada layanan digital, dan riwayat insiden. Fokus pada coverage kontrol inti di aset kritikal dan kemampuan recovery, bukan sekadar persentase.

Bagaimana cara membuktikan ROI cybersecurity kepada dewan?

Gunakan pendekatan pengurangan risiko: bandingkan estimasi dampak skenario (downtime, kebocoran data, fraud) sebelum dan sesudah kontrol. Perkuat dengan metrik operasional seperti peningkatan coverage MFA/EDR, pencapaian RTO/RPO, dan penurunan waktu deteksi/respons. ROI keamanan biasanya tampil sebagai “kerugian yang dihindari” dan “ketahanan operasional yang meningkat”.

Lebih baik membangun SOC internal atau memakai managed service?

Tergantung skala dan kebutuhan 24/7. SOC internal memberi kontrol lebih besar tetapi membutuhkan SDM berpengalaman, proses matang, dan biaya berkelanjutan. Managed service dapat mempercepat kapabilitas deteksi/respons, namun perlu tata kelola yang jelas (SLA, playbook, integrasi, dan ownership keputusan). CFO sebaiknya meminta analisis TCO 3 tahun dan definisi tanggung jawab yang tegas.

Apa saja pos anggaran yang sering terlupakan tetapi krusial saat insiden?

Yang paling sering terlewat: retainer respons insiden/forensik, latihan tabletop lintas fungsi, komunikasi krisis/PR, biaya legal dan notifikasi, serta pengujian pemulihan backup. Pos-pos ini menentukan kecepatan pemulihan dan kualitas pengambilan keputusan saat krisis.

Bagaimana menyelaraskan anggaran cyber risk dengan strategi bisnis (misalnya ekspansi digital)?

Masukkan keamanan sebagai bagian dari biaya enablement: keamanan aplikasi dan API, governance cloud, proteksi identitas, dan monitoring untuk layanan baru. Setiap inisiatif digital sebaiknya memiliki komponen keamanan dan ketahanan yang dianggarkan sejak awal, agar tidak menjadi “pajak tak terduga” di akhir proyek.

budgetingbusiness continuityCFOCompliancecyber riskcybersecurity strategyGRCincident responseRisk Managementsecurity controls
By