Dalam dunia keamanan siber yang terus berkembang, banyak CEO yang baru sadar ada masalah dalam tim keamanan mereka saat sudah terlambat. Misalnya, saat seorang analis kunci menyerahkan surat pengunduran diri di tengah proyek penting, atau ketika mereka menyadari bahwa kemampuan merespons insiden yang mereka kira ada tiba-tiba menghilang bersama orang yang membangunnya.
- 1. Jika analis paling berpengalaman kami pergi besok, pengetahuan penting apa yang akan hilang?
- 2. Bagaimana kami mengembangkan keterampilan tim keamanan, dan bagaimana rasio retensi kami dibandingkan dengan tolok ukur industri?
- 3. Jalani saya melalui apa yang terjadi selama insiden keamanan—siapa yang melakukan apa, dan seberapa cepat Anda bisa merespons?
- 4. Tanda-tanda awal apa yang akan memberi tahu Anda bahwa anggota tim sedang memikirkan untuk pergi?
- 5. Jika kami harus mengganti seluruh tim keamanan kami dalam 18 bulan ke depan, berapa biaya yang akan kami keluarkan dan bagaimana kami akan mempertahankan operasi?
- Kenyataan yang Terlewatkan oleh Banyak CEO
Lebih parah lagi, pelaku ancaman kini semakin cermat. Mereka memantau LinkedIn untuk melihat pola profesional keamanan yang keluar dari organisasi. Mereka juga mengawasi tanda-tanda ketidakstabilan tim dan merencanakan serangan mereka saat masa transisi berlangsung. Selama periode yang dikenal sebagai Great Resignation, para penjahat siber secara khusus menargetkan perusahaan yang menunjukkan tanda-tanda terjadinya rotasi dalam tim keamanan, tahu bahwa tim yang kelelahan dan adanya celah pengetahuan menciptakan titik masuk yang lebih mudah.
Dengan kekurangan talenta keamanan siber saat ini, menggantikan profesional keamanan memakan waktu 50% lebih lama dibandingkan peran IT lainnya, dengan gaji yang sering kali lebih tinggi sebesar 15-25%. Namun, biaya tersembunyi yang muncul—seperti gangguan operasional, kehilangan pengetahuan, dan kerentanan keamanan yang nyata—jauh lebih besar daripada pengeluaran langsung tersebut. CEO yang cerdas tidak menunggu surat pengunduran diri. Mereka mulai bertanya pertanyaan yang tepat sejak dini, ketika masih bisa bertindak berdasarkan jawaban tersebut.
1. Jika analis paling berpengalaman kami pergi besok, pengetahuan penting apa yang akan hilang?
Pertanyaan ini langsung menyentuh salah satu ketergantungan tersembunyi yang paling berbahaya dalam operasi keamanan siber. Saat profesional keamanan menyimpan pengetahuan institusional yang tidak ada tempat lain—seperti keunikan jaringan Anda, sinyal mana yang hanya positif palsu, dan proses informal organisasi Anda—kepergian mereka menciptakan titik buta operasional secara langsung.
Lebih dalam lagi, Anda mungkin kehilangan bertahun-tahun pemahaman yang terakumulasi tentang lingkungan spesifik, pola ancaman, dan hubungan dengan pemangku kepentingan. Kebanyakan organisasi tidak menyadari berapa banyak yang terkunci dalam pikiran individu hingga semuanya hilang. Pertanyaan ini mendorong pemimpin keamanan Anda untuk menghadapi kenyataan apakah operasi Anda akan tetap kuat selama transisi atau malah runtuh akibat kurangnya keahlian.
2. Bagaimana kami mengembangkan keterampilan tim keamanan, dan bagaimana rasio retensi kami dibandingkan dengan tolok ukur industri?
Profesional keamanan tidak pergi hanya karena gaji—mereka pergi karena peluang untuk berkembang. Pertanyaan ini menunjukkan apakah organisasi Anda memiliki pengembangan karier yang terstruktur atau hanya berharap orang-orang akan bertahan tanpa adanya jalur pertumbuhan yang jelas.
Sebuah laporan LinkedIn Workplace Learning menemukan bahwa 91% karyawan akan tinggal lebih lama di perusahaan yang berinvestasi pada pembelajaran dan pengembangan mereka. Namun, investasi saja tidak cukup. Kuncinya adalah menciptakan kemajuan yang jelas dan terjangkau sehingga profesional ambisius tidak perlu mencari di tempat lain. Ini bisa berarti apa pun mulai dari mendukung pelatihan dan ujian sertifikasi CISSP hingga membangun jalur yang jelas menuju peran senior dan secara aktif membantu mereka mencapainya.
Pertanyaan ini mengungkap apakah pemimpin keamanan Anda memahami hubungan antara pengembangan profesional dan retensi—serta apakah mereka memandang kemajuan karier sebagai fungsi strategis, bukan sekadar pelengkap.
3. Jalani saya melalui apa yang terjadi selama insiden keamanan—siapa yang melakukan apa, dan seberapa cepat Anda bisa merespons?
Pertanyaan ini sebenarnya menyangkut ketahanan operasional. Banyak tim keamanan yang dijalankan dengan titik kegagalan tunggal yang disamarkan sebagai keahlian. Ketika penyelidik insiden terbaik Anda menangani semua investigasi kompleks secara pribadi, Anda telah membangun ketergantungan kritis yang bisa menjadi liabilitas nyata saat mereka tidak tersedia.
Apa yang sebelumnya membutuhkan satu profesional terampil kini menuntut beberapa orang atau waktu yang jauh lebih lama. Dalam insiden keamanan yang sebenarnya, penundaan ini bisa berarti perbedaan antara mengatasi pelanggaran dalam hitungan jam versus hari. Pertanyaan ini memaksa pemimpin keamanan Anda untuk berpikir lebih jauh dari kemampuan saat ini dan mempertimbangkan apakah respons insiden Anda adalah operasi yang matang dan terdistribusi atau hanya sekadar rumah kartu yang dibangun di sekitar keahlian individu.
4. Tanda-tanda awal apa yang akan memberi tahu Anda bahwa anggota tim sedang memikirkan untuk pergi?
Pertanyaan ini memisahkan pemimpin keamanan yang mengelola talenta secara proaktif dari mereka yang mengandalkan harapan. Indikator paling dapat diandalkan untuk berpindah tidaklah berupa masalah kinerja—melainkan perubahan keterlibatan yang muncul 60 hingga 90 hari sebelum surat pengunduran diri tiba.
Profesional keamanan yang berkinerja tinggi yang merencanakan kepergian mereka mengikuti pola tertentu: mereka menjauh dari proyek jangka panjang, mengurangi berbagi pengetahuan, maupun mengabaikan perkembangan profesional atau mendadak meminta sertifikasi mahal yang sesuai dengan peran berikutnya—bukan untuk perusahaan Anda.
Kebanyakan manajer hanya mengenali tanda-tanda ini setelah terlambat. Saat itu, upaya retensi jarang bekerja karena keputusan secara psikologis sudah dibuat. Pertanyaan ini mengungkap apakah kepemimpinan keamanan Anda memiliki kesadaran untuk campur tangan sebelum keputusan itu terjadi.
5. Jika kami harus mengganti seluruh tim keamanan kami dalam 18 bulan ke depan, berapa biaya yang akan kami keluarkan dan bagaimana kami akan mempertahankan operasi?
Inilah pertanyaan yang paling sering tidak dipikirkan oleh CEO—dan satu yang mengungkap segala sesuatu tentang apakah pemimpin keamanan Anda berpikir strategis tentang talenta. Biaya yang terlihat (gaji, biaya perekrutan, onboarding) hanya mewakili sebagian kecil dari dampak sebenarnya.
Biaya tersembunyi mencakup waktu perekrutan yang lebih lama di pasar yang kekurangan kandidat, kehilangan produktivitas selama transisi yang panjang, upaya transfer pengetahuan yang menguras tim yang tersisa, dan risiko operasional yang muncul akibat celah kemampuan selama periode rentan. Organisasi dengan kepemimpinan keamanan yang kuat memiliki rencana yang terdokumentasi untuk mempertahankan operasi selama transisi, mengidentifikasi jalur kemajuan internal, dan menghitung ROI dari investasi retensi dibandingkan dengan biaya penggantian.
Kenyataan yang Terlewatkan oleh Banyak CEO
Banyak CEO yang terlibat dalam diskusi ini menyadari bahwa mereka telah mengelola tim keamanan dengan cara yang sama seperti mereka mengelola departemen lainnya. Pendekatan ini tidak berhasil—namun menyadari ada masalah tidak berarti punya solusi.
Organisasi yang secara konsisten memenangkan perang talenta keamanan telah memindahkan lima pertanyaan ini dari latihan diagnostik ke dalam kerangka operasional. Mereka berhenti berharap orang-orang baik tetap bertahan dan mulai merekayasa lingkungan di mana kepergian menjadi pengecualian. Sementara tim keamanan biasa menghadapi tingkat pergantian tahunan 20-30%, organisasi dengan pendekatan retensi yang matang mempertahankan suku bunga di bawah 10%.
Perbedaan biaya juga mencolok. Setiap kepergian dari tim keamanan biasanya menghabiskan biaya lebih dari $150,000 jika dihitung dari perekrutan, pelatihan, kehilangan produktivitas, dan gangguan operasional. Seiring waktu, perbedaan antara pendekatan reaktif dan strategis ini bisa berujung pada penghematan biaya yang mencapai jutaan—serta kemampuan operasional yang berkelanjutan yang tidak dapat disaingi oleh pesaing yang terus-terusan berjuang untuk merekrut.
Kekurangan talenta dalam sektor keamanan siber tidak akan menghilang begitu saja. Pertanyaannya adalah apakah Anda akan terus berputar dengan penggantian yang mahal atau membangun organisasi di mana orang-orang terbaik Anda memiliki semua alasan untuk tetap tinggal. Mulailah dengan lima pertanyaan ini. Jawabannya akan memberi tahu Anda di mana posisi Anda saat ini.
