MANAJEMEN RISIKO RANTAI PASOK KEAMANAN SIBER: STRATEGI MELAWAN ANCAMAN RANSOMWARE
Manajemen risiko rantai pasok keamanan siber semakin penting bagi perusahaan. Adopsi pusat data awan dan layanan perangkat lunak mengalami pertumbuhan. Ketergantungan pada rantai pasok global dan kompleks juga meningkat. Hal ini membawa berbagai kerentanan potensial yang bisa dimanfaatkan oleh penjahat siber. Berikut beberapa strategi kunci untuk mengidentifikasi dan mengurangi risiko dalam rantai pasok, terutama risiko ransomware.
Penting untuk memahami rantai pasok teknologi informasi perusahaan. Ini termasuk mengidentifikasi pemasok, subkontraktor, dan mitra lain yang memproses, mengirim, atau menyimpan data untuk produk dan layanan perusahaan. Setelah peta rantai pasok terbentuk, langkah berikutnya adalah mengenali risiko potensial yang ada di setiap komponen. Ini termasuk risiko eksternal seperti bencana alam, serta risiko internal seperti pergantian karyawan atau pelanggaran data.
Perusahaan perlu melakukan penilaian risiko dengan mengumpulkan dan menganalisis data dari berbagai sumber, seperti kontrak pemasok, kebijakan asuransi, dan laporan kepatuhan. Setelah risiko teridentifikasi, langkah selanjutnya adalah mengembangkan strategi untuk menguranginya. Ini melibatkan implementasi proses atau teknologi untuk mengurangi kemungkinan gangguan rantai pasok siber atau menetapkan rencana cadangan jika gangguan terjadi.
Selain langkah proaktif, memiliki rencana tanggap bencana juga penting untuk antisipasi saat terjadi gangguan dalam rantai pasok. Berkomunikasi secara jelas dengan para pemangku kepentingan seperti karyawan, pelanggan, dan pemegang saham juga krusial agar mereka memahami situasi dan langkah-langkah penanggulangannya.
Ransomware kini menjadi risiko besar bagi perusahaan yang bergantung pada pihak ketiga. Serangan ransomware pada sistem vendor dapat mengganggu aliran barang dan layanan, menyebabkan kerugian finansial dan reputasi perusahaan. Untuk mengurangi risiko ini, perusahaan harus melakukan penelitian cermat saat memilih vendor, mengevaluasi praktik keamanan mereka, dan meminta mereka untuk membuktikan ketangguhan siber secara rutin.
Selain itu, perusahaan juga harus memiliki strategi manajemen risiko lainnya, seperti rencana tanggap bencana, komunikasi alternatif, cadangan data dan sistem yang kuat, serta pembaruan rutin perangkat lunak untuk melindungi dari ancaman baru.
Kesimpulannya, manajemen risiko rantai pasok adalah aspek penting bagi perusahaan. Dengan memahami rantai pasok dan mengidentifikasi risiko, perusahaan dapat mengurangi dampak gangguan. Melalui langkah-langkah proaktif dan rencana tanggap bencana yang jelas, perusahaan dapat tetap beroperasi secara efektif dalam menghadapi tantangan.
Artikel ini telah diterbitkan oleh ISACA, dengan judul Ransomware Looms Large on Third-Party Risk Landscape. Artikel selengkapnya dapat dibaca di sini.
Mengarungi Risiko Global: Pandangan Masa Depan, Kesiapan, dan Tindakan Bersama dalam Era Ketidakpastian
Dalam waktu yang terus bergejolak, dunia berada pada persimpangan penting. Saat kita memasuki era pertumbuhan rendah, investasi minim, dan kolaborasi terbatas, keputusan yang kita buat hari ini akan mendefinisikan lanskap risiko yang akan datang. Sangat penting bahwa respons kita terhadap krisis saat ini tidak mengalihkan perhatian dari perspektif jangka panjang kita.
Peristiwa-peristiwa baru-baru ini, seperti pandemi COVID-19 dan tantangan biaya hidup yang meningkat, secara perlahan merusak hasil ekonomi, pendidikan, dan kesehatan di sebagian populasi yang semakin melebar. Jurang yang semakin besar antara negara maju dan berkembang memperparah fenomena ini. Selain itu, peristiwa-peristiwa ini bersilangan dengan sejumlah risiko lingkungan dan geopolitik – termasuk perubahan iklim, penurunan ekosistem, dan konflik multibidang – yang menambah ancaman terhadap keamanan dan stabilitas sosial di seluruh dunia.
Beberapa prinsip umum dapat memperkuat kesiapan di berbagai bidang:
- Memperkuat Identifikasi Risiko dan Prediksi: Pendekatan sistematis untuk mengidentifikasi dan memprediksikan perkembangan, risiko, dan peluang di masa depan sangat penting. Metode seperti pemindaian horizon dan perencanaan skenario, yang memanfaatkan data kualitatif dan kuantitatif, dapat membantu meramalkan tren-tren yang muncul. Menerima perbedaan pendapat para ahli dan membedakan antara risiko dan ketidakpastian adalah aspek penting dari proses ini.
- Kalibrasi Nilai Risiko “Masa Depan”: Mengatasi mengatasi krisis-krisis mendesak adalah hal yang krusial. Sumber daya dan perhatian tidak boleh dialihkan dari risiko global yang mendasari bencana lokal atau yang mungkin muncul di luar kerangka waktu kepemimpinan saat ini.
- Berinvestasi dalam Kesiapan Risiko Multi-Domain: Mengatasi risiko terkait dan ketergantungan antara sistem-sistem kritis memerlukan analisis yang canggih. Pandangan sistemik, seperti peran Pejabat Risiko Nasional dan Ketahanan, penting dalam memastikan prediksi risiko komprehensif, mitigasi, dan manajemen krisis.
- Memperkuat Kesiapan dan Kerja Sama Respons: Kolaborasi lintas sektor, melibatkan pemerintah, bisnis, dan masyarakat sipil, penting untuk kesiapan yang efektif. Kemitraan antara swasta dan pemerintah dapat menjembatani kesenjangan dalam inovasi, pendanaan, tata kelola, dan pelaksanaan langkah-langkah mitigasi risiko.
Risiko global membutuhkan pendekatan ganda yang menyelaraskan manajemen krisis dengan ramalan jangka panjang. Sebagai contoh, setelah pandemi COVID-19, pemerintah harus menstabilkan sistem perawatan kesehatan sambil sekaligus mengatur lingkungan penyebaran penyakit zoonosis, mengatur penelitian fungsi gain, dan memantau permintaan sintesis di laboratorium biologi untuk mencegah wabah masa depan dari penyebaran alami, kecelakaan, dan ancaman.
Mengakui sifat saling terkait dari risiko global, memperkuat upaya ketahanan di berbagai bidang kritis bermanfaat dalam segala skenario. Walaupun tantangan seperti perubahan iklim, ancaman siber, dan ketidakpastian pangan mungkin tampak berbeda, efeknya dapat saling terkait, mengharuskan kesiapan yang holistik.
Kerja sama internasional mutlak diperlukan untuk mengatasi risiko global yang melampaui kepemilikan individu. Sementara krisis-krisis terbaru telah memicu introspeksi, penting untuk menghidupkan kembali proses multilateral dan organisasi untuk mengatasi risiko global yang muncul secara efektif.
Di dalam pemandangan risiko yang kompleks, keseimbangan antara kesiapan nasional dan kolaborasi global sangat penting. Para pemimpin harus merangkul kompleksitas, bertindak dengan visi seimbang untuk membentuk masa depan bersama yang lebih tangguh dan makmur, yang melampaui siklus terus-menerus dari krisis.
Laporan ini telah diterbitkan oleh World Economic Forum, dengan judul The Global Risks Report 2023. Laporan selengkapnya dapat dibaca di sini.
Menjaga Kendali Kritis dalam Ketidakpastian Staf (Staffing Uncertainties)
Covid-19 dianggap sebagai peristiwa black swan, yaitu kejadian yang berada di luar kondisi normal dan memiliki sejumlah konsekuensi. Sejumlah universitas di Amerika Serikat melewatinya dengan menerapkan perubahan operasional demi melindungi siswanya dan tetap memenuhi tujuan pendidikan.
Dalam keadaan dengan kendala sumber daya yang parah, organisasi/perusahaan perlu memprioritaskan pekerjaan yang berdampak pada operasi dan mempertahankan tingkat kepegawaian. Namun, pekerjaan-pekerjaan tertentu kerap kali terhenti karena berbagai alasan, misalnya cuti, pensiun dini, atau perampingan staf. Efek dari hal ini muncul dari waktu ke waktu, terutama jika pekerjaan yang tidak diprioritaskan justru memengaruhi kepatuhan dan keuangan (pengendalian data). Untuk itu, para pemimpin perlu memastikan adanya sistem pengendalian yang kuat untuk mengurangi risiko.
Beberapa pertimbangan pengendalian kepatuhan dan keuangan adalah sebagai berikut.
Sistem Pengendalian Internal (SPI) yang Efektif
Sistem pemantauan internal didokumentasikan dengan prosedur pengendalian utama untuk memastikan berjalannya kinerja. Beberapa kerangka kerja memberikan panduan penilaian dan mitigasi risiko ketidakpatuhan, termasuk standar yang ditetapkan oleh Committee of Sponsoring Organizations of the Treadway Commission (COSO), Standards for Internal Control in the Federal Government (atau dikenal sebagai Green Book), Uniform Guidance and Compliance Supplement, dan American Institute of Certified Public Accountants (AICPA).
Selain itu, setidaknya terdapat lima langkah yang dapat dilakukan dengan tujuan membangun SPI yang efektif.
- Pertama, perhatikan pengendalian utama. Hal ini berkontribusi terhadap integritas data keuangan dan operasi. Dokumentasi pengendalian yang terdistribusi dan terpusat penting untuk dilakukan.
- Kedua, manfaatkan teknologi. Selama pandemi, sejumlah organisasi melaksanakan kerja jarak jauh. Ketergantungan yang besar pada proses manual berganti dengan otomatisasi.
- Ketiga, tinjau peran dan tanggung jawab. Risiko ketidakpatuhan dapat dikurangi dengan mendefinisikan peran secara jelas. Hal ini dilakukan tidak hanya untuk efektivitas, tetapi juga efisiensi.
- Keempat, menetapkan program pemantauan. Elemen penting dari SPI adalah verifikasi berkelanjutan. Langkah pemantauan ini diharapkan dapat memastikan pengendalian utama berjalan dengan baik.
- Kelima, melakukan pengendalian dengan bijaksana. Dokumentasi pengendalian harus selalu diperbarui selagi prosedurnya ditingkatkan. Hal ini bertujuan untuk memenuhi perubahan kebutuhan.
Artikel ini telah diterbitkan oleh Huron, dengan judul Strategies for Maintaining Critical Controls During Staffing Uncertainties. Artikel selengkapnya dapat dibaca di sini.
Bagaimana Rantai Pasokan Industri Produk Kesehatan Terjaga dari Krisis Covid-19
Industri produk kesehatan memiliki tugas untuk mendorong berjalannya ekonomi global selama pandemi 2020. Pada tahap pertama pandemi, misalnya, alat pelindung diri (APD) didistribusikan. Diagnostik polymerase chain reaction (PCR) pun menjadi penting, seperti halnya berbagai terapi. Vaksin terus dikembangkan untuk menyelamatkan nyawa.
Menurut Travis McIntosh, Manajer Produk Praktik Industri di Chubb Insurance, Covid-19 menciptakan peningkatan permintaan yang belum pernah terjadi sebelumnya untuk produk-produk manufaktur, seperti laptop dan monitor untuk orang-orang yang bekerja dari rumah. Di sisi lain, kapasitas dan ketersediaan input manufaktur harus dikurangi akibat tidak adanya tenaga kerja. Inilah yang menyebabkan krisis rantai pasokan global.
Sementara itu, industri produk kesehatan rupanya mampu menghadapi tantangan tersebut. Alasannya, rantai pasokan industri ini memiliki pengawasan regulasi. Artinya, industri produk kesehatan memiliki standar yang wajib dipatuhi dengan jaminan kualitas, seperti yang ditentukan oleh Good Manufacturing Practice dari Organisasi Kesehatan Dunia (WHO) atau ISO 13485.
Di samping itu, pada industri farmasi dan bioteknologi, terdapat tingkat outsourcing dan transfer teknologi manufaktur yang tinggi. Hal ini memunculkan kebutuhan vendor dan penyedia layanan dalam industri tersebut, yang juga disertai dengan kebutuhan sertifikasi dan audit ulang oleh regulator.
Bisnis di luar industri ilmu hayati menciptakan keadaan normal baru (new normal) dalam manajemen pasokannya melalui enam area utama.
- Pertama, rencana pemulihan bencana. Hal ini menunjukkan pentingnya rencana resmi untuk setiap bisnis.
- Kedua, kesadaran risiko. Bukan hanya bencana alam, risiko geopolitik dan potensi di dunia maya juga perlu dipertimbangkan.
- Ketiga, inventarisasi. Pemahaman komponen dan tingkat inventaris diperlukan agar bisnis tetap memadai.
- Keempat, pemeriksaan mitra. Hal ini mencakup lokasi dan sumber produk mitra
- Kelima, asuransi. Pastikan program transfer risiko sesuai dengan tujuan.
- Keenam, kesigapan. Setiap bisnis dan perusahaan harus memiliki skenario bencana tiruan untuk menguji rencana pemulihan bencana.
Artikel ini telah diterbitkan oleh Strategic Risk, dengan judul Supply Chain Lessons from The COVID-crisis. Artikel selengkapnya dapat dibaca di sini.
Risiko Keamanan Data dari Teknologi AI
Penggunaan kecerdasan buatan (artificial intelligence/AI) kian meluas di bidang profesional. AI menggunakan data dari pengguna untuk mempelajari pola perilaku, memprediksi tren masa depan, serta membuat dan meniru karya. Meski dianggap bermanfaat, AI rupanya dapat menghadapkan penggunanya pada risiko kehilangan kekayaan intelektual dan data lainnya.
Kebijakan Perusahaan terhadap AI
Pada Maret lalu, Samsung mengalami kebocoran informasi sensitif perusahaan. Sejumlah karyawan tanpa sengaja melanggar kerahasiaan perusahaan saat menggunakan ChatGPT untuk mengoptimalkan urutan pengujian dalam pengidentifikasian kesalahan dalam chip; menulis presentasi; dan menulis catatan rapat.
Cara terbaik yang diharapkan dilakukan perusahaan adalah dengan memberi tahu karyawan secara eksplisit mengenai penggunaan AI yang bisa dan tidak bisa diterima di tempat kerja. Aturan yang jelas ini mencakup edukasi mengenai data apa saja yang bisa dan tidak bisa dimasukkan ke dalam alat layanan AI.
Isu-isu yang perlu dipertimbangkan adalah keamanan model AI, kerentanan yang mungkin dimiliki, kemungkinan paparan data, tindakan untuk otentikasi dan otorisasi, serta pencatatan dan pemantauan yang sesuai. Isu-isu inilah yang kemudian dapat menjadi pertanyaan-pertanyaan untuk persiapan mitigasi risiko, evaluasi keterampilan karyawan, keamanan siber internal perusahaan, dan deteksi ancaman yang akan datang.
Peran Manajer Risiko
Manajer risiko berperan penting dalam peningkatan keamanan siber dan risiko data terhadap AI. Tata kelola data yang kuat juga diperlukan, yaitu dengan mengembangkan kebijakan dan prosedur secara komprehensif atas penyimpanan dan pemrosesan data yang aman. Perusahaan harus melakukan enkripsi data sensitif, menerapkan kontrol akses, dan melakukan audit secara rutin. Di samping itu, perusahaan harus mempromosikan budaya kesadaran keamanan serta mengenali teknik rekayasa sosial dan potensi pelaporan kerentanan.
Dalam membangun tata kelola, perusahaan disarankan membangun kerangka kerja risiko keamanan siber. Kolaborasi juga perlu dilakukan oleh manajer risiko di seluruh perusahaan dengan melibatkan pakar keamanan siber, pakai AI, hingga tim hukum dan kepatuhan. Tujuannya adalah untuk mencapai pemahaman bersama mengenai risiko AI dan perlindungan yang sesuai.
Fokus Keamanan Data
Peningkatan risiko dunia maya dipercaya bukan merupakan kesalahan AI, melainkan karena buruknya pengelolaan risiko. Dalam hal keamanan, banyak perusahaan berada pada kondisi yang lebih buruk dibandingkan enam bulan yang lalu saat terjadi mitigasi risiko data perusahaan dan pelanggan.
Teknologi AI memang berkembang dengan cepat. Kurangnya kontrol keamanan yang memadai tentu meningkatkan risiko bagi perusahaan. Itu sebabnya, perusahaan dan tenaga profesional perlu bertindak cepat dalam memahami risiko dan menentukan kontrol yang sesuai. Di samping itu, tata kelola risiko perlu bersifat cukup fleksibel agar lebih adaptif saat ancaman baru muncul.
Artikel ini telah diterbitkan oleh The Risk Management Society, dengan judul Managing Data Security Risks of AI Technology oleh Neil Hodge pada 1 Agustus 2023.
Apakah Strategi Risiko Dewan Anda Hari Ini Sesuai dengan Risiko Hari Esok?
Pandemi COVID-19 telah meningkatkan risiko yang sudah ada di mana-mana, termasuk serangan keamanan siber, gangguan rantai pasokan, dan ancaman eksternal lainnya. Sehingga manajemen risiko yang kuat sangat penting untuk ketahanan perusahaan dalam lingkungan yang tidak pasti ini, bahkan manajemen risiko menjadi prioritas utama dalam agenda dewan. Menurut EY Global Board Risk Survey EY 2021, hampir 8 dari 10 dewan direksi percaya bahwa manajemen risiko yang lebih baik akan sangat penting dalam memampukan organisasi mereka melindungi dan membangun nilai dalam lima tahun ke depan.
Meski begitu, banyak anggota dewan kurang percaya diri dengan kemampuan organisasi mereka dalam mengelola risiko. Hanya 18% responden survei percaya bahwa tanggap bencana dan perencanaan kontinjensi organisasi mereka sangat efektif, sementara hanya 13% percaya bahwa organisasi mereka sangat efektif dalam menanamkan aktivitas risiko dan kepatuhan.
Jelas, ada ruang yang signifikan untuk perbaikan. Dewan memiliki kesempatan untuk membingkai ulang pendekatan manajemen risiko perusahaan mereka untuk dunia pasca-pandemi. Mereka dapat melakukan pengawasan risiko yang berhasil dan mendorong hasil risiko yang lebih efektif dalam tiga cara utama.
Lebih fokus pada risiko yang muncul dan atipikal
Dewan dan manajemen mungkin secara teratur memantau dan menangani risiko tradisional, seperti perubahan peraturan, penurunan permintaan, dan peningkatan biaya pinjaman, tetapi mereka perlu lebih memperhatikan risiko yang tidak lazim dan muncul. Hanya 39% dalam survei yang disebutkan di atas mengatakan bahwa perusahaan mereka dapat mengelola risiko tersebut secara efektif, yang mungkin termasuk ancaman yang berkaitan dengan teknologi baru atau risiko iklim.
Untuk menghadapi risiko yang muncul secara lebih efektif, dewan harus melihat risiko melalui perspektif jangka panjang — idealnya mempertimbangkan jangka waktu lebih dari lima tahun. Perspektif jangka panjang sangat penting karena banyak risiko mungkin hanya berdampak kecil hari ini tetapi dapat meningkat dalam 5-10 tahun ke depan. Saat ini dewan menghabiskan sedikit waktu untuk melihat risiko strategis jangka panjang karena kendala waktu dan kurangnya keahlian. Oleh karena itu, mereka perlu memfokuskan kembali waktu mereka dan mendiversifikasi keahlian anggota mereka serta memanfaatkan teknologi untuk meningkatkan efisiensi waktu yang dihabiskan untuk tugas-tugas rutin.
Manfaatkan data dan teknologi untuk mengelola risiko perusahaan
Penggunaan teknologi secara menyeluruh untuk mengidentifikasi dan mengelola risiko merupakan pendorong utama manajemen risiko. Teknologi otomatisasi, misalnya, dapat digunakan untuk menangani tugas-tugas manual, sehingga memungkinkan profesional risiko untuk fokus pada prioritas yang lebih bernilai tambah. Pengumpulan dan pemantauan data dapat dilakukan secara otomatis secara real time, memungkinkan potensi risiko untuk ditandai lebih cepat daripada menggunakan pendekatan manual murni. Selain otomatisasi, memanfaatkan artificial intelligence (AI) dapat membantu membaca, meninjau, dan memvalidasi pelaporan keuangan. Dengan teknologi AI juga dapat membantu menganalisis data yang sangat banyak dalam waktu yang jauh lebih singkat.
Dewan harus mengamanatkan fungsi risiko untuk memanfaatkan otomatisasi baru, AI, dan alat pelaporan untuk memantau dan mengelola risiko. Untuk investasi dalam teknologi, perusahaan memerlukan alokasi anggaran yang cukup serta keselarasan dengan keseluruhan strategi teknologi dan data organisasi.
Dewan juga harus mengarahkan manajemen untuk meningkatkan cakupan dan kedalaman pelaporan risiko. Pelaporan risiko yang efektif berwawasan ke depan dan prediktif, dan mencakup risiko yang muncul dan atipikal, antara lain. Ketika dilakukan dengan benar, itu bisa menjadi pendorong yang kuat untuk manajemen risiko yang efektif.
Menyelaraskan budaya perusahaan dengan strategi
Budaya perusahaan yang selaras dengan tujuan organisasi sangat penting untuk melindungi dan menciptakan nilai. Jika tidak, risiko meningkat dan nilai tidak tercapai. Faktanya, ketidakselarasan antara budaya dan strategi adalah tantangan terbesar terkait tenaga kerja dalam manajemen risiko. Budaya juga penting dalam manajemen risiko perusahaan, yang memengaruhi cara organisasi mengidentifikasi dan mengelola risiko.
Jelas, penting untuk mengalokasikan waktu yang cukup untuk membahas budaya di tingkat dewan. Namun survei menemukan bahwa 27% dewan tidak pernah atau jarang mendiskusikan budaya yang dibutuhkan untuk mendukung strategi organisasi mereka. Ini perlu diubah. Dewan dapat mengatur budaya dan bekerja dengan manajemen untuk menentukan, menerapkan, dan mengukur budaya perusahaan yang selaras dengan strategi organisasi, sehingga memperkuat manajemen risiko.
Untuk mencapai hal ini, dewan harus meninjau bagaimana manajemen mengartikulasikan budaya yang diinginkan organisasi dan berupaya menutup kesenjangan yang ada. Itu juga harus mempertimbangkan menyelaraskan kompensasi eksekutif dengan perilaku dan budaya perusahaan yang diinginkan dan menilai apakah ada hubungan yang jelas antara penghargaan dan perilaku yang diinginkan.
Dewan juga dapat memanfaatkan analitik tren budaya, pembandingan dengan orang lain, survei sikap risiko, dan kesadaran risiko. Tinjauan berkala terhadap metrik budaya dalam organisasi, seperti survei pulsa karyawan, wawancara masuk dan keluar karyawan, serta survei relevan lainnya, harus dilakukan.
Karena lingkungan risiko dalam bisnis menjadi semakin kompleks, dewan perlu mendorong organisasi mereka untuk melakukan semua upaya untuk mengidentifikasi, memitigasi, mengelola, dan bahkan mengantisipasi ancaman baru. Dewan dapat membingkai ulang pendekatan organisasi mereka terhadap manajemen risiko dengan mengkatalisasi perubahan melalui penekanan pada budaya dan teknologi, sambil mengadopsi perspektif jangka panjang dalam mengelola risiko.
Artikel ini telah diterbitkan oleh EY, dengan judul Is Your Board Risk Strategy Today Fit for The Risks of Tomorrow? pada 27 Januari 2023. Artikel selengkapnya dapat dibaca di sini.
Lingkup Fungsi Pemimpin Risiko
Perubahan dalam lingkungan risiko saat ini bergerak dengan kecepatan yang belum pernah terjadi sebelumnya. Ancaman-ancaman yang baru muncul kian sulit untuk diatasi. Studi Manajemen Risiko Global Accenture 2019 menemukan bahwa para pemimpin risiko (risk leader) kini menghadapi tantangan yang lebih tinggi.
Sebanyak 72 persen orang dalam survei Accenture menyebutkan adanya risiko baru yang kompleks dan saling berhubungan. Risiko-risiko ini memberi tiga tantangan teratas, yaitu 1) risiko teknologi yang mengganggu; 2) pelanggaran data; dan 3) risiko operasional.
Dalam menghadapi risiko-risiko ini, perubahan yang cepat harus dilakukan. Sejumlah solusi perlu dipersiapkan oleh para risk leader dalam menghadapi ancaman utama.
Beberapa solusi yang dapat dilakukan terbagi atas beberapa poin sebagai berikut:
- Berubah menjadi digital untuk menghadapi ancaman digital
- Teknologi dapat meningkatkan efisiensi, tetapi juga memberikan konsekuensi tak terduga
- Kecerdasan buatan (artificial intelligence/AI) dapat digunakan
- Memanfaatkan dorongan dari teknologi pintar (smart technology)
- Pembelajaran mesin (machine learning/ML) memberikan kesiapan risiko yang lebih baik
- Hanya 10 persen yang menerapkan ML ke kumpulan data (dataset)
- Menambahkan nilai (value) dari data
- Terdapat nilai potensial dalam sumber data baru
- Sebanyak 57 persen responden berencana menggunakan data pemasaran untuk mengelola risiko
- Berkolaborasi untuk menyusun kesiapan risiko yang lebih baik
- Kolaborasi berarti mitigasi risiko yang lebih baik
Pemimpin risiko mungkin tidak akan sepenuhnya memegang kendali. Maka, yang direkomendasikan untuk dilakukan para risk leader adalah pendefinisian faktor-faktor dalam kontrol fungsi risiko dan menetapkan aset yang harus dilindungi. Hal ini dilakukan demi mengantisipasi, menilai, dan memitigasi seluruh ancaman baru yang mungkin muncul.
Artikel ini telah diterbitkan oleh Accenture, dengan judul Sektor Jasa Keuangan Terjaga Stabil di Tengah Divergensi Perekonomian Global pada 3 Desember 2019. Artikel selengkapnya dapat dibaca di sini.
OJK: Sektor Jasa Keuangan Nasional Terjaga Stabil
Berdasarkan Rapat Dewan Komisioner Bulanan Otoritas Jasa Keuangan (OJK) pada 27 Juni 2023, sektor jasa keuangan (SJK) nasional dinilai tetap terjaga stabil dengan permodalan yang kuat dan likuiditas yang memadai.
Lebih lanjut, kinerja perekonomian nasional juga mendapat penilaian yang relatif lebih baik dibandingkan negara-negara lain. Hal ini didukung oleh resiliensi sektor keuangan, seperti yang disebutkan dalam laporan Article IV Consultation oleh International Monetary Fund (IMF).
OJK, sementara itu, mendukung transisi yang baik (smooth) dari era pandemi melalui normalisasi kebijakan secara bertahap (targeted). Cara ini dilakukan agar tidak menimbulkan guncangan (cliff effect) dan akan ditempuh secara terukur sehingga tidak menimbulkan moral hazard. Di sisi lain, OJK juga meminta perbankan dan perusahaan pembiayaan untuk membentuk pencadangan yang memadai untuk mengantisipasi berbagai ketidakpastian.
Perkembangan Pasar Modal
Penegakan hukum di bidang pasar modal didukung dengan sejumlah kebijakan berikut.
- Hingga Juni 2023, OJK telah mengenakan sanksi administratif atas pemeriksaan kasus di pasar modal kepada 24 pihak.
- OJK mengenakan sanksi administratif terhadap kasus PT Kresna Asset Management (PT KAM).
- OJK mengenakan sanksi terhadap kasus PT Millenium Capital Management (MCM).
Perkembangan Sektor Perbankan
Fungsi intermediasi yang terjaga dan permodalan yang memadai menopang berjalannya perbankan di Indonesia meski ada pelemahan ekonomi mitra dagang utama, kebijakan hawkish di negara maju, tingginya tensi geopolitik, serta kecenderungan penurunan harga komoditas utama penopang ekspor. Untuk itu, OJK akan terus menjaga ketahanan perbankan terhadap sejumlah tekanan. Beberapa di antaranya adalah kondisi makro ekonomi, geopolitik, cyber-attack, termasuk penguatan digital maturity dan digital resiliency.
Perkembangan Sektor Industri Keuangan Nonbank (IKNB)
Beberapa langkah penegakan ketentuan di sektor IKNB dilakukan adalah sebagai berikut.
- OJK mencabut izin usaha PT Asuransi Jiwa Kresna (Kresna Life) pada 23 Juni 2023 karena RBC Kresna Life tetap tidak memenuhi ketentuan minimum yang disyaratkan.
- OJK telah memintaaction plan pemenuhan ekuitas minimum kepada 33 fintech P2P lending yang belum memenuhi ketentuan.
- OJK telah melakukan supervisory actiondengan melakukan monitoring terhadap delapan perusahaan pembiayaan (PP) yang belum memenuhi ketentuan ekuitas minimum sesuai POJK Nomor 35/POJK.05/2018.
Perkembangan Edukasi dan Pelindungan Konsumen
Peran Tim Percepatan Akses Keuangan Daerah (TPAKD) terus didukung oleh OJK sebagai forum koordinasi akselerasi perluasan akses keuangan regional. Tujuannya, hal ini dapat menunjang pemerataan literasi dan inklusi keuangan nasional.
Arah Kebijakan
Sejumlah langkah kebijakan yang terukur ditempuh oleh OJK demi menjaga stabilitas sektor keuangan. Diharapkan, SJK menjadi katalis positif bagi pertumbuhan ekonomi nasional. Kebijakan OJK meliputi kebutuhan untuk
- menjaga stabilitas sistem keuangan,
- mendukung penguatan SJK dan infrastruktur pasar,
- memperkuat tata kelola OJK,
- mendorong literasi dan inklusi keuangan,
- memperkuat pelindungan konsumen, serta
- menangani lembaga jasa keuangan (LJK) dalam perhatian khusus.
Proses Pengadilan
Hingga 23 Juni 2023, OJK telah menyelesaikan total 104 perkara. Jumlah ini terdiri atas 82 perkara perbankan, 5 perkara pasar modal, dan 17 perkara IKNB.
Selain itu, terdapat pula perkara yang telah diputus oleh pengadilan, yaitu sebanyak 89 perkara, termasuk 71 perkara yang telah mempunyai kekuatan hukum tetap (in kracht), 2 perkara dalam proses banding, dan 16 perkara dalam tahap kasasi.
Artikel ini telah diterbitkan oleh OJK, dengan judul Sektor Jasa Keuangan Terjaga Stabil di Tengah Divergensi Perekonomian Global pada 4 Juli 2023. Artikel selengkapnya dapat dibaca di sini.
Penetapan Konteks dalam Manajemen Risiko Strategis – Memahami Perbedaan Antara ‘Teks’ Versus ‘Konteks’
Bagi para profesional bidang manajemen risiko yang mendalami Standar Nasional Indonesia SNI:ISO 31000 Pedoman Manajemen Risiko, tentunya paham bahwa langkah pertama dalam proses manajemen risiko adalah penetapan konteks. Terkait dengan hal tersebut, penulis menuangkan hasil diskusi singkat di bawah ini.
‘Orang dapat membaca dan bahkan menghapal teks, tetapi sering masih buta konteks dalam memahami risiko yang dihadapi oleh organisasi’ … ucapan tersebut disampaikan oleh seorang profesional senior ke penulis di konferensi internasional manajemen risiko di awal tahun 2023. Lanjut beliau: ‘Alhasil, penanganan atau implementasi manajemen risiko menjadi sekedar kepatuhan terhadap regulasi dan berorientasi pada masa lalu; hal ini menjadi hambatan tersendiri dalam penanganan risiko – terutama risiko strategis yang membutuhkan pemahaman konteks organisasi dan berorientasi ke depan serta bersifat dinamis.
Penulis kemudian menanyakan apakah pernyataan dan observasi beliau tentang hal ini spesifik di sektor, fungsi, atau jenjang tertentu. Jawaban beliau sangat lugas yaitu ‘hampir di semua sektor, industri, dan berbagai jenjang dalam suatu organisasi’. Kemudian, beliau menambahkan ‘bahkan di jenjang senior misalkan eselon satu atau sederajat di sektor publik dan di tingkat direksi serta dewan komisaris di sektor perusahaan’.
Perbincangan ini sejalan dengan pengamatan penulis bahwa memang masih banyak para praktisi melihat, memaknai dan menjalankan penerapan manajemen risiko entitas mereka terbatas sebagai pemenuhan kepatuhan, bersifat administratif serta tenggelam dalam banyak penanganan operasional yang tidak terlalu bernilai tambah. Juga sering didapatkan bahwa penerapan manajemen risiko tersebut lebih diarahkan demi kebutuhan dan tujuan pelaporan yang dituntut oleh regulator. Dalam hal ini, mereka akan terdorong untuk sekedar gugur kewajiban (Check list attitude) dan kehilangan tujuan sejati manajemen risiko yaitu ‘menciptakan dan melindungi nilai organisasi’ yang membutuhkan kesesuaiannya dengan empat dimensi konteks sebagaimana disarankan dalam SNI ISO 31000 Standar Manajemen Risiko, yaitu:
- Konteks Eksternal
- Konteks Internal
- Konteks Manajemen Risiko
- Konteks Penetapan Kriteria Risiko
Sementara pembaca dapat mendalami bagaimana penetapan konteks dalam SNI ISO 31000 melalui link berikut:
- https://crmsindonesia.org/publications/membedah-anatomi-iso-31000-2009-risk-management-principles-and-guidelines/
- https://irmapa.org/ruang-lingkup-konteks-kriteria-manajemen-risiko-konteks-risiko/
Penulis meneruskan perbincangan di atas dengan satu pertanyaan ke beliau ‘apa saran Bapak untuk memampukan dan sekaligus mendorong praktisi memahami konteks risiko sehingga pengambilan keputusan dan tindakan mereka dalam mengelola risiko menjadi efektif’?.
Sebelum menjawab, beliau tersenyum dan kemudian berkata ‘kembali ke faktor manusia, kompeten atau tidak yaitu punya pengetahuan memadai (knowledge), keterampilan cukup (skill), dan sikap mental yang positif dan berintegritas (attitude)’. Untuk ke arah sana, sebaiknya hindarkan tiga hal yang dapat menghambat cara pikir dan cara pandang seseorang yaitu: pertama: Zona nyaman (Comfort Zone) yang tidak mau keluar dari zona nyaman dan enggan berubah, kedua: ketidakberdayaan (helpless mentality) yang memberikan justifikasi negatif untuk tidak melakukan hal-hal baru dan progresif misal ‘Belum memiliki pengalaman’ atau ‘tidak punya waktu’, serta yang ketiga atau terakhir: memilih jalan atau cara mudah (Easy Way) sehingga dapat tergelincir ke dalam godaan potong kompas, dan atau tidak membangun budaya sadar dan tangguh terhadap risiko’.
Saya mengucapkan terimakasih kepada beliau dan berharap apa yang disampaikan dapat menular kepada para praktisi dan pengambil keputusan di berbagai organisasi. Beliau yang saya kenal lebih dari 25 tahun dan sudah memiliki prestasi dan kompetensi di tingkat dunia dan hampir di segala bidang, selalu rendah hati untuk belajar, membuka hati dan pikiran sehingga tidak pernah lepas dari konteks untuk memaknai fenomena strategis dan dinamis. Pengertian teks diperlukan, tetapi pemaknaan konteks dibutuhkan agar penerapan manajemen risiko dapat efektif, terutama penanganan risiko strategis.
Oleh karena itu, perlu diwaspadai kekeliruan yang dapat terjadi bahwa konteks dilihat sama dengan teks, yaitu rujukan tertulis (teks) yang kemudian mentah-mentah diambil sebagai lingkaran konteks organisasi. Hal ini dapat menyebabkan organisasi kehilangan arah dan tujuan penerapan manajemen risiko karena tidak selaras lagi dengan konteks organisasi tersebut. Misal adanya penetapan kendali risiko tertentu yang sudah ketinggalan jaman dan bersifat administratif yang harus dilakukan sebelum tindakan operasional tertentu dijalankan (catatan: yang pada masanya efektif karena administratif menjadi prasyarat sebelum tindakan operasional dilakukan), tetap dipakai padahal operasional organisasi sudah harus menyesuaikan dengan konteks eksternal mereka misal beroperasi di jaringan internasional dan terkait dengan jejaring internet berbasis data dan ‘blockchain’ yang memungkinkan dan bahkan diharapkan adanya tindakan serentak antara keputusan administratif dengan operasional dan sekaligus dengan pelacakan audit.
Sebagai penutup, penulis mensitir pernyataan di bawah ini:
- Context refers to factors acting upon composers and responders that impinge on meaning. Context and text are in a symbiotic relationship in the production of meaning. To understand context we need to look beyond the text and consider the world in which it was produced and the worlds of its reception.
- Textual analysis focuses on the text itself whereas contextual analysis focuses on the surrounding conditions and environment in which the text was written. When one analyzes a piece of text using textual analysis they ask questions about the text itself.
Mudah-mudahan artikel ini bermanfaat.
Prediksi Kejahatan Siber (dan Keamanan) untuk Tahun 2023
Pelaku ancaman terus beradaptasi dengan teknologi, praktik, dan bahkan undang-undang privasi data terbaru—dan hal ini kembali lagi kepada organisasi untuk tetap selangkah lebih maju dengan menerapkan tindakan dan program keamanan siber yang kuat.
Berikut adalah gambaran bagaimana kejahatan dunia maya akan berkembang pada tahun 2023 dan apa yang dapat Anda lakukan untuk mengamankan dan melindungi organisasi Anda di tahun mendatang.
Peningkatan serangan rantai pasokan digital
Dengan meningkatnya modernisasi dan digitalisasi rantai pasokan yang cepat muncul risiko keamanan siber. Gartner memperkirakan bahwa pada tahun 2025, 45% organisasi di seluruh dunia akan mengalami serangan terhadap rantai pasokan perangkat lunak mereka—ini meningkat tiga kali lipat dari tahun 2021. Sebelumnya, jenis serangan ini bahkan tidak mungkin terjadi karena rantai pasokan tidak terhubung ke internet. Namun saat ini, rantai pasokan perlu diamankan dengan benar.
Pengenalan teknologi baru di sekitar rantai pasokan perangkat lunak ini memungkinkan adanya celah keamanan yang belum teridentifikasi, tetapi penting untuk diungkap guna melindungi organisasi Anda di tahun 2023.
Sehingga apabila ada rantai pasokan perangkat lunak yang baru maka sangat penting untuk mengintegrasikan konfigurasi keamanan siber yang diperbarui. Selain itu, juga perlu mempersiapkan sumber daya manusia yang memiliki pengalaman dengan rantai pasokan digital untuk memastikan langkah-langkah keamanan diterapkan dengan benar.
Serangan siber khusus seluler sedang meningkat
Tidak mengherankan bahwa dengan meningkatnya penggunaan ponsel cerdas di tempat kerja, perangkat seluler menjadi target yang lebih besar untuk serangan siber. Organisasi perlu melakukan tindakan pencegahan ekstra untuk mencegah serangan yang dimulai dari frontliner dengan mengimplementasikan perangkat lunak yang membantu memverifikasi identitas pengguna. Menurut World Economic Forum’s 2022 Global Risks Report, 95% insiden keamanan siber disebabkan oleh kesalahan manusia. Fakta ini sendiri menekankan perlunya prosedur perangkat lunak yang mengurangi kemungkinan kesalahan manusia dalam hal verifikasi.
Gandakan keamanan cloud
Karena semakin banyak perusahaan yang memilih aktivitas berbasis cloud, keamanan cloud—teknologi, kebijakan, atau layanan apa pun yang melindungi informasi yang disimpan di cloud—harus menjadi prioritas utama di tahun 2023 dan seterusnya. Seiring dengan perkembangan teknologi, penjahat siber juga menjadi lebih canggih dan mengembangkan taktik mereka, yang artinya keamanan cloud sangat penting karena Anda lebih sering mengandalkannya di organisasi Anda.
Perlindungan paling andal terhadap kejahatan siber berbasis cloud adalah filosofi zero trust. Prinsip utama di balik zero trust adalah memverifikasi semuanya secara otomatis—dan pada dasarnya tidak mempercayai siapa pun tanpa semacam otorisasi atau pemeriksaan. Tindakan keamanan ini sangat penting untuk melindungi data dan infrastruktur yang disimpan di cloud dari serangan siber.
Ransomware-as-a-Service akan tetap ada
Dengan meningkatnya ancaman ransomware, muncul peningkatan penggunaan Ransomware-as-a-Service (RaaS). Fenomena yang berkembang ini adalah ketika penjahat ransomware menyewakan infrastruktur mereka kepada penjahat siber atau kelompok lain. Kit RaaS mempermudah pelaku ancaman untuk menyebarkan serangan mereka dengan cepat dan terjangkau, yang merupakan kombinasi berbahaya untuk memerangi siapa pun yang memimpin protokol dan prosedur keamanan siber. Untuk meningkatkan perlindungan terhadap pelaku ancaman yang menggunakan RaaS, perlu koordinasi dengan end-user. Sehingga penting untuk memastikan end-user mendapatkan pelatihan agar mereka dapat menjaga keamanan dari serangan ransomware. Pastikan prosedur keamanan siber Anda didokumentasikan dengan jelas dan dipraktikkan secara teratur sehingga pengguna dapat tetap awas dan waspada terhadap pelanggaran keamanan.
Bersiap untuk undang-undang privasi data semakin ketat
Kami tidak dapat berbicara tentang keamanan siber pada tahun 2023 tanpa menyebutkan undang-undang privasi data. Dengan undang-undang privasi data baru yang akan berlaku di beberapa negara bagian selama tahun depan, sekaranglah waktunya untuk menilai prosedur dan sistem Anda saat ini untuk memastikannya sesuai. Undang-undang privasi data sering kali mengharuskan perubahan pada cara perusahaan menyimpan dan memproses data, dan menerapkan perubahan baru ini dapat membuka risiko tambahan bagi Anda jika tidak diterapkan dengan hati-hati. Pastikan organisasi Anda mematuhi protokol keamanan siber yang tepat, termasuk zero trust, seperti yang disebutkan di atas.
Artikel ini telah diterbitkan oleh ERM Academy, dengan judul Cybercrime (and Security) Predictions for 2023. Artikel selengkapnya dapat dibaca di sini.