Daftar Risiko Teratas 2024
Berdasarkan survei global oleh Protoviti terhadap para eksekutif dan direktur C-level dalam hal pengaruh hambatan ekonomi, masalah talenta, teknologi baru, ancaman dunia maya, dan peristiwa geopolitik, berikut adalah daftar risiko teratas (top risk) 2024.
- Kondisi ekonomi dapat secara signifikan membatasi peluang pertumbuhan.
- Kemampuan organisasi untuk mempertahankan talenta terbaik, mengelola perubahan ekspektasi tenaga kerja, dan mengatasi tantangan suksesi dapat membatasi kemampuan mencapai target operasional.
- Organisasi mungkin tidak cukup siap mengelola ancaman siber yang dapat merusak merek.
- Risiko pihak ketiga yang timbul akibat ketergantungan pada outsourcing dan pengaturan kemitraan strategis dapat mencegah tercapainya target organisasi.
- Perubahan regulasi dan pengawasan secara signifikan memengaruhi proses produk atau layanan dirancang dan diproduksi.
- Penerapan teknologi digital mungkin memerlukan keterampilan baru yang terbatas sehingga memerlukan upaya signifikan untuk meningkatkan keterampilan karyawan.
- Operasi dan infrastruktur teknologi informasi (TI) lama mungkin tidak memenuhi harapan kinerja sebaik pesaing di era digital.
- Lingkungan suku bunga saat ini mungkin memiliki dampak signifikan terhadap biaya modal dan operasi organisasi.
- Peningkatan biaya tenaga kerja yang diantisipasi dapat memengaruhi kemampuan untuk memenuhi target profitabilitas.
- Kepatuhan terhadap peraturan privasi data mungkin memerlukan sumber daya yang signifikan untuk merestrukturisasi cara data dikumpulkan dan digunakan.
Kekhawatiran ekonomi menempati posisi risiko teratas, menggantikan risiko talenta dan masalah suksesi (naik dari posisi kedua pada 2023). Maka, kebijakan bank sentral difokuskan pada penanggulangan inflasi yang disebabkan oleh:
- peningkatan biaya tenaga kerja;
- program stimulus pemerintah yang besar;
- pengurangan risiko ketergantungan negara-negara Barat terhadap Tiongkok, konflik regional, dan perkembangan lain di kawasan lanskap geopolitik; dan
- peningkatan harga tempat tinggal, makanan, dan energi.
Kekhawatiran ekonomi melingkupi seputar lingkungan suku bunga yang secara signifikan memengaruhi biaya modal dan operasi organisasi. Sementara itu, risiko yang berkaitan dengan manusia tetap menjadi perhatian utama, sedangkan budaya menjadi prioritas kedua. Penurunan risiko terkait budaya kemungkinan terjadi karena organisasi menekankan peningkatan ketahanan dan kesadaran risiko karyawan dalam lingkungan bisnis yang berkembang pesat.
Risiko di peringkat kedua pada daftar 2024—menemukan dan mempertahankan talenta yang tepat—sangat relevan di era terkini. Organisasi harus menemukan strategi untuk menciptakan daya tarik bagi jenis talenta unik yang mereka butuhkan.
Sementara itu, keamanan siber menjadi perhatian utama dalam jangka pendek. Ancaman siber kini menempati peringkat risiko ketiga pada 2024 (naik dari peringkat ke-15 pada tahun lalu). Peningkatan posisi ini i mencerminkan meningginya kesadaran terhadap lanskap risiko siber yang dipengaruhi oleh kurva eksponensial kemajuan teknologi.
Kekuatan lain, seperti meningkatnya ketergantungan pada pihak ketiga, juga berkontribusi terhadap lanskap ancaman. Hal yang sama terjadi pada kondisi geopolitik, termasuk dengan adanya kepentingan nasional yang saling bersaing, hingga terorisme global yang memengaruhi penilaian risiko siber di wilayah dan negara tertentu.
Kekhawatiran atas pengawasan regulasi juga meningkat dalam jangka pendek. Risiko regulasi menurun selama pandemi Covid-19 karena banyaknya kekhawatiran risiko lainnya yang lebih tinggi. Meski begitu, kekhawatiran ini menyebar luas di seluruh industri.
Di sisi lain, peristiwa geopolitik mendorong perubahan penting dalam persepsi risiko. Tren penting dalam hasil survei global daftar risiko teratas tahun ini adalah mengenai apa yang terungkap dari temuan sebelum dan sesudah 7 Oktober 2023, yaitu ketika peristiwa di Israel dan Gaza meletus.
Survei ini—seperti tahun-tahun sebelumnya—menunjukkan adanya variasi dalam perspektif di seluruh kelompok industri dan wilayah di dunia. Selain itu, terdapat perbedaan perspektif di antara para direktur dan eksekutif C-level mengenai tingkat keparahan risiko pada 2024. Hal ini menunjukkan perlunya dialog di tingkat tertinggi organisasi untuk memastikan bahwa semua orang yang terlibat memiliki pemahaman yang sama mengenai risiko perusahaan yang kritis.
Pertimbangan untuk Dewan
Dalam 1 tahun ke depan, kita akan menghadapi ketidakpastian ekonomi, masalah talenta, ancaman dunia maya, risiko pihak ketiga, serta masalah regulasi dan teknologi. Keseluruhan aspek tersebut menjadi hal yang paling menyita perhatian di jajaran C-level.
Untuk itu, dewan direksi harus mempertimbangkan tema risiko dan evaluasi fokus pengawasan risiko. Jika pimpinan senior organisasi belum mengidentifikasi atau memprioritaskan masalah sebagai hal yang perlu dipertimbangkan, direktur harus bergerak untuk mempertimbangkan relevansinya dengan strategi perusahaan.
Artikel ini telah diterbitkan oleh Protiviti, dengan judul “The Top Risks for 2024: Risk Priorities Are Shifting” pada 10 Januari 2024. Artikel selengkapnya dapat dibaca di sini.
Pentingnya Pemantauan Berkelanjutan dalam Manajemen Risiko Model (MRM)
Manajemen Risiko Model (MRM) di lembaga keuangan bertujuan untuk memastikan bahwa model yang digunakan sesuai dengan peraturan, memiliki data berkualitas, dan telah diverifikasi secara konseptual. Namun, aspek penting lain yang sering terabaikan dalam MRM adalah proses pemantauan berkelanjutan. Pemantauan ini bertujuan untuk memastikan model berfungsi sesuai harapan dan tetap mematuhi peraturan yang berlaku.
Kelemahan dalam pemantauan berkelanjutan dapat berdampak serius. Misalnya, salah satu bank terbesar di AS kehilangan $2 miliar pada tahun 2012 karena penggunaan model Value-at-Risk yang tidak memadai. Model ini menyamarkan risiko, yang menyebabkan keputusan bisnis yang salah dan kerugian besar.
Komponen Utama Pemantauan Berkelanjutan
MRM yang efektif membutuhkan beberapa proses, termasuk pemantauan yang berkelanjutan, untuk memastikan model tetap berfungsi optimal. Pemantauan ini juga mendukung kepatuhan terhadap kebijakan internal serta peraturan eksternal. Berdasarkan panduan dari Federal Reserve (SR 11-7), evaluasi model harus mempertimbangkan perubahan dalam produk, eksposur, dan kondisi pasar untuk memastikan model tetap relevan.
Berikut adalah empat komponen utama pemantauan berkelanjutan:
- Input
Data internal dan eksternal yang digunakan dalam model harus terus diverifikasi untuk memastikan akurasi, kelengkapan, dan konsistensi dengan tujuan model. Penggunaan indikator risiko utama (KRI) seperti Population Stability Index (PSI) dapat membantu mengidentifikasi perubahan populasi data yang memengaruhi hasil model. - Output
Indikator kinerja utama (KPI) dari model perlu terus dievaluasi untuk mengidentifikasi pengukuran yang kurang optimal dan menyesuaikannya dengan kondisi pasar yang terbaru. KPI yang relevan memungkinkan perusahaan menilai apakah model berfungsi sesuai tujuan. - Penilaian Risiko Model dan Kebutuhan Regulasi
Penilaian risiko model digunakan untuk mengidentifikasi risiko dari setiap model, serta risiko agregat yang dihasilkan dari seluruh model dalam inventaris. Penilaian ini harus sejalan dengan prosedur validasi model perusahaan dan persyaratan regulasi. - Pelaporan
Setiap organisasi harus memiliki kerangka kerja pelaporan yang jelas untuk merespons kesalahan model, risiko, atau masalah lainnya. Proses eskalasi yang tepat hingga ke tingkat dewan sangat penting untuk memastikan pengambilan keputusan yang tepat waktu.
Pemantauan berkelanjutan memastikan bahwa struktur tata kelola, kualitas data, dan keandalan konseptual model tetap selaras dengan tujuan dan risiko organisasi. Kelemahan dalam proses ini dapat menyebabkan kerugian finansial dan reputasi yang besar. Pemantauan yang efektif harus dimulai sejak model dikembangkan dan dilaporkan secara rutin kepada manajemen untuk memungkinkan penyesuaian yang tepat waktu.
Pemantauan berkelanjutan adalah kunci keberhasilan MRM, memberikan transparansi dan membantu organisasi menavigasi perubahan risiko dengan lebih baik. Dengan adanya pemantauan yang kokoh, pemimpin organisasi dapat lebih siap dalam mengantisipasi risiko yang muncul.
Artikel ini telah diterbitkan oleh Grant Thornton pada 27 Juli 2023, dengan judul Facilitating Ongoing Monitoring in Model Risk Management. Artikel selengkapnya dapat dibaca di sini.
Disrupsi yang Berlebih Menuntut Pembaruan
Saat ini, guncangan besar terus terjadi dan volatilitasnya konstan. Hal ini mencakup fenomena cuaca yang mengganggu, pergolakan geopolitik, dan ketidakpastian ekonomi.
Ketika melakukan pembaruan untuk menciptakan peluang dari semua gangguan dan volatilitas, perusahaan perlu berpikir secara berbeda dalam memitigasi dan menavigasi risiko. Namun, hanya 14,5% organisasi (yang disurvei) yang memiliki kemampuan manajemen risiko tingkat lanjut. Organisasi-organisasi inilah yang lebih mungkin untuk berkembang sebagai bisnis.
Selama 4 tahun terakhir, gangguan meningkat sebesar 183%. Sementara itu, pada tahun lalu, angkanya menjadi sebesar 33% saja, menurut Accenture Pulse of Change: 2024 Index. Risiko-risiko yang kompleks dan saling berhubungan muncul dengan kecepatan yang lebih tinggi dibandingkan sebelumnya.
Risiko yang Menjadi Lebih Kompleks
Dunia bisnis menghadapi tantangan dalam mengelola risiko teknologi, terutama yang berhubungan dengan penggunaan cloud dan kecerdasan artifisial (artificial intelligence/AI). Selain itu, risiko peraturan meningkat seiring diberlakukannya undang-undang baru, misalnya mengenai AI serta tata kelola lingkungan, sosial, dan perusahaan (environmental, social, and governance/ESG). Di berbagai industri, risiko teknologi disruptif juga menjadi semakin signifikan, misalnya dengan keberadaan deepfake.
Bisnis juga menghadapi kompleksitas risiko sosial dan geopolitik. Sebagian besar profesional di bidang risiko (83%) mengakui bahwa risiko yang kompleks kini muncul lebih cepat. Maka dari itu, perusahaan perlu meningkatkan kemampuan mengelola risiko serta meresponsnya dengan strategi baru.
Menurut Accenture Risk Study: 2024 Edition, risiko menjadi semakin saling bergantung. Sebagai contoh, responden survei mengurutkan risiko strategis sebagai jenis risiko yang paling meningkat. Risiko strategis juga diperburuk oleh risiko keuangan, peraturan dan teknologi. Hubungan antarrisiko ini perlu diketahui untuk memungkinkan para pemimpin risiko memahami profil risiko organisasi mereka yang sebenarnya.
Dalam menghadapi kondisi ini, manajemen risiko perlu mengalami pembaruan dengan mempertimbangkan hal-hal berikut.
- Kepuasan terhadap adopsi pola pikir risiko hanya sebesar 35% dari responden.
- Kepuasan dalam aspek manajemen risiko lainnya secara keseluruhan cukup rendah, yaitu dengan persentase antara 34% hingga 39%.
- Evaluasi kemampuan bisnis menunjukkan adanya kebutuhan peningkatan untuk mengadopsi dan menjalankan pola pikir risiko secara efektif di seluruh organisasi.
Penguatan Kemampuan Risiko
Berikut adalah hubungan antara tim manajemen risiko (lini kedua) dan operasional bisnis (lini pertama) dalam organisasi/perusahaan.
- Meningkatkan keahlian
Tim risiko harus memiliki pengetahuan dan keahlian yang relevan dengan jenis risiko. Perekrutan individu dari peran operasional (lini pertama) ke manajemen risiko (lini kedua) dan sebaliknya dapat meningkatkan keahlian dan pemahaman risiko dalam organisasi.
- Menargetkan konsultasi
Tim risiko perlu menerapkan pendekatan konsultatif dan kolaboratif, bukan sekadar memberikan daftar periksa. Tujuannya, hal ini dapat memberdayakan lini pertama untuk mengelola risiko secara efektif.
- Menghindari “lini 1.5”
Di masa lalu, beberapa tim operasional bisnis menciptakan “lini 1.5”, yaitu tim risiko tersendiri. Strategi ini ditinggalkan karena tidak efektif.
Secara keseluruhan, pemimpin risiko yang sukses adalah pemimpin yang mampu membangun budaya risiko yang kuat, memberdayakan lini pertama, serta mendukung bisnis dalam mengelola risiko dengan lebih baik.
Sementara itu, beberapa langkah cepat untuk memperkuat kemampuan risiko dan menghilangkan silo adalah sebagai berikut.
- Integrasi inisiatif transformasi risiko
- Evaluasi saling ketergantungan risiko
- Penyelarasan tim risiko dan bisnis
- Penghindaran duplikasi tim
- Kontribusi risiko terhadap pertumbuhan
Secara umum, pendekatan terintegrasi dan kolaboratif diperlukan untuk memperkuat kemampuan risiko dan menghilangkan silo dalam organisasi.
Artikel ini telah diterbitkan oleh Accenture, dengan judul Hyper-Disruption Demands Constant Reinvention. Artikel selengkapnya dapat dibaca di sini.
Pendekatan Proaktif dalam Pedoman Keamanan Siber bagi Penyelenggara ITSK
Otoritas Jasa Keuangan (OJK) merilis Pedoman Keamanan Siber (Cybersecurity Guidelines) bagi Penyelenggara Inovasi Teknologi Sektor Keuangan (ITSK). Pedoman ini berisi strategi reaktif dan proaktif atas keamanan siber yang paling banyak menyerang industri keuangan sepanjang 2023.
Dalam konteks penerapan kerangka keamanan siber, pedoman ini memberikan pemetaan atas kerangka keamanan siber melalui pendekatan multiaspek. Lebih lanjut, selain berfungsi sebagai panduan, pedoman ini juga berusaha memenuhi tujuan untuk meningkatkan awareness manajemen risiko dan audit.
Aspek-aspek dan jenis-jenis ancaman siber akan dikupas dalam pedoman ini, dilanjutkan dengan kebijakan-kebijakan mengenai pelindungan data dan keamanan informasi. Tidak hanya memaparkan mekanisme penyimpanan, pedoman ini juga menawarkan mekanisme back-up dan recovery serta pemusnahan data secara aman.
Manajemen risiko tidak luput dibahas dalam pedoman ini. Pasalnya, manajemen risiko merupakan proses penting dalam pemastian keamanan operasional penyelenggara ITSK. Penilaian, mitigasi, hingga perlakuan risiko yang sesuai konteks dibahas secara terperinci.
Strategi tanggap insiden juga menjadi topik utama dalam pedoman, mengingat posisinya yang krusial dalam menghadapi keamanan siber bagi penyelenggara ITSK. Strategi ini dimulai dari penyusunan rencana tanggap insiden, identifikasi set kritis, pembentukan tim tanggap insiden, pelatihan rutin, hingga pembuatan kebijakan eskalasi dan pelaporan insiden. Tidak hanya itu, strategi yang dimaksud juga mencakup tahap deteksi dan analisis agar potensi kejadian keamanan dapat diketahui. Tahap selanjutnya, yaitu tahap pengisolasian, pemberantasan, dan pemulihan, juga mendapat sorotan khusus karena bertujuan untuk mengembalikan data ke kondisi fungsional.
Untuk mengidentifikasi kerentanan, pedoman ini juga mendampingi penyelenggara ITSK dalam melakukan penilaian maturitas. Secara detail, langkah-langkah yang perlu dilakukan untuk meningkatkan pertahanan akan dipaparkan, mulai dari pemanfaatan assessment tools terstandardisasi, tolok ukur (benchmarking) pada standar industri, pengembangan rencana perbaikan, siklus perbaikan berkelanjutan, hingga pelaporan. Seluruh langkah ini diberikan agar penyelenggara ITSK tetap terdepan dalam menghadapi potensi ancaman siber.
Selain itu, sejumlah pendukung keamanan siber juga disebutkan dalam pedoman yang didukung oleh Kedutaan Besar Inggris melalui UK Government cyber capacity-building programme ini. Perangkat pendukung yang dimaksud dapat diterapkan pada tahap pelatihan, peningkatan awareness, dan kolaborasi antarpemangku kepentingan. Artinya, penyelenggara ITSK harus memiliki program pelatihan tertentu yang bertujuan meningkatkan pemahaman dan kemampuan mitigasi risiko. Jenis-jenis kegiatan untuk meningkatkan awareness juga perlu dikembangkan, sebagaimana kolaborasi perlu dilakukan agar informasi yang penting dapat disampaikan lebih cepat.
Secara umum, pedoman ini membawa pendekatan dan analisis komparatif dengan standar dan praktik keamanan siber. Untuk memudahkan pemahaman penyelenggara ITSK, pedoman ini dilengkapi pula dengan Kode Etik Keamanan Siber dan sejumlah checklist. Diharapkan, pedoman ini dapat mendorong pemberdayaan ekosistem digital dan memperkuat ketahanan siber. Dengan demikian, sektor ITSK dapat tumbuh dan berkontribusi pada perekonomian nasional secara optimal.
Artikel ini telah diterbitkan oleh Otoritas Jasa Keuangan, dengan judul “Pedoman Keamanan Siber Bagi Penyelenggara Inovasi Teknologi Sektor Keuangan (ITSK)” pada 25 Juli 2024. Artikel selengkapnya dapat dibaca di sini.
Keamanan Siber Berbasis Data: Solusi Inovatif untuk Menghadapi Ancaman Digital
Di era digital yang semakin kompleks, perusahaan di sektor infrastruktur kritis menghadapi tantangan besar dalam menangani ancaman siber yang terus berkembang. Banyak tim keamanan tidak memanfaatkan data secara optimal, sehingga gagal memberikan kontribusi maksimal bagi organisasi.
Pemimpin perusahaan, konsumen, dan regulator mengharapkan data digunakan sebagai aset strategis. Namun, banyak bisnis justru kewalahan dengan data yang tidak terstruktur, sulit diakses, dan membengkakkan biaya penyimpanan. Berbagi informasi melalui cara tradisional seperti spreadsheet dan database lama mengakibatkan hilangnya peluang dalam melawan ancaman siber.
Sebagai contoh, di sektor keuangan, banyak data penting yang tersembunyi dapat membantu bank mendeteksi peretasan dan penipuan lebih cepat jika informasi tersebut bisa disajikan dengan jelas. Di perusahaan global, catatan keamanan tersebar di berbagai lokasi, padahal data ini dapat memperkuat postur keamanan secara global jika tim keamanan di seluruh dunia memiliki pandangan risiko yang terintegrasi secara real-time.
Untuk mengatasi tantangan dari kelompok kriminal dan ancaman canggih lainnya, perusahaan membutuhkan cara inovatif untuk mengubah data menjadi wawasan manajemen risiko. Salah satu caranya adalah pendekatan keamanan siber berbasis data yang menggabungkan teknologi dan talenta untuk mendukung seluruh organisasi.
Pendekatan ini mengintegrasikan berbagai kelompok seperti operasi siber, respons insiden, intelijen, investigasi keamanan global, dan manajemen penipuan. Dengan tata kelola data yang terarah, tim-tim ini dapat membuat keputusan secara real-time dalam menghadapi ancaman yang berkembang.
Ketika sebuah bank menghadapi ancaman kompleks, seperti evolusi dari peretasan menjadi skema penipuan, pendekatan berbasis data memungkinkan tim spesialis untuk berbagi data dengan cepat, berkolaborasi, dan mengalihkan penyelidikan dengan mulus dari satu tahap ke tahap berikutnya.
Pendekatan ini juga membantu perusahaan di seluruh industri infrastruktur kritis. Misalnya, produsen global besar bisa lebih proaktif dalam menangani risiko, berbagi data keamanan dengan cepat, dan mengelola ancaman dengan lebih efektif. Dengan pandangan risiko yang menyeluruh, perusahaan dapat meningkatkan keamanan bahkan di bagian-bagian yang mengalami keterbatasan sumber daya.
Selain itu, pendekatan ini membuat penyimpanan data besar lebih efisien, memungkinkan perusahaan memanfaatkan analitik keamanan secara real-time dan menerapkan siber canggih yang prediktif.
Dengan mengadopsi pendekatan manajemen risiko siber berbasis data, organisasi dapat meraih keunggulan kompetitif.
Artikel ini telah diterbitkan oleh Booz Allen dengan judul How Data-Driven Cybersecurity Can Enable Your Business. Artikel selengkapnya dapat dibaca di sini.
Mengelola Risiko IT: Studi Kasus Pelanggaran Keamanan MOVEit Transfer
Kemajuan teknologi terus berkembang pesat, dan manajemen risiko menjadi komponen penting dalam organisasi modern. Salah satu contoh nyata yang menunjukkan ancaman yang dihadapi di dunia yang semakin terhubung adalah kampanye peretasan global yang baru-baru ini menargetkan MOVEit Transfer, perangkat lunak transfer file yang banyak digunakan.
MOVEit Transfer: Kasus Serangan Siber Terbaru
MOVEit Transfer adalah alat populer yang digunakan oleh organisasi untuk transfer data sensitif, seperti catatan keuangan. Namun, perangkat ini menjadi sasaran kampanye peretasan yang luas. Beberapa entitas, termasuk Departemen Energi AS (DOE), perusahaan energi Shell, dan universitas ternama seperti Johns Hopkins, terkena dampak serangan ini. Grup peretas Cl0p, yang terhubung dengan Rusia, mengklaim bertanggung jawab atas peretasan tersebut dengan mengeksploitasi celah keamanan yang ditemukan pada perangkat lunak ini.
Tantangan Risiko IT: Keamanan, Pelanggaran Data, dan Kepatuhan Regulasi
- Kerentanan Keamanan: Kampanye peretasan ini menunjukkan betapa pentingnya mengidentifikasi dan memperbaiki celah keamanan pada perangkat lunak. Kerentanan yang tidak ditambal dapat menjadi pintu terbuka bagi peretas.
- Pelanggaran Data: Pelanggaran ini berdampak besar bagi entitas seperti DOE dan Shell, yang mengelola informasi sensitif yang mempengaruhi keamanan nasional dan posisi kompetitif perusahaan. Pentingnya melindungi informasi sensitif melalui enkripsi, segmentasi jaringan, dan pengawasan akses menjadi sangat krusial.
- Kepatuhan Regulasi: Pelanggaran ini juga menunjukkan risiko kepatuhan terhadap regulasi. Ketidakpatuhan terhadap undang-undang perlindungan data dapat mengakibatkan sanksi berat dan merusak reputasi organisasi.
Strategi Mitigasi Risiko IT
Untuk mengatasi risiko IT yang kompleks, organisasi harus mengadopsi pendekatan beragam dalam manajemen risiko IT:
- Manajemen Risiko Pihak Ketiga: Perlu evaluasi keamanan vendor secara berkala, termasuk asesmen keamanan vendor dan monitoring berkelanjutan.
- Keamanan Cloud: Memahami model tanggung jawab bersama dalam layanan cloud, serta memastikan konfigurasi keamanan yang tepat.
- Manajemen Kerentanan Berkelanjutan: Mempekerjakan monitoring dan patching sistem secara berkala untuk menutup celah keamanan secepat mungkin.
- Enkripsi dan Transfer Data Aman: Data sensitif harus dienkripsi baik saat disimpan maupun saat ditransfer.
- Pelatihan dan Kesadaran Karyawan: Karyawan adalah lini pertahanan pertama. Pelatihan dan simulasi keamanan yang berkelanjutan dapat membantu mereka mengenali ancaman dan merespons dengan tepat.
- Rencana Respons Insiden: Membentuk tim respons insiden yang siap menghadapi pelanggaran keamanan adalah langkah krusial. Prosedur yang jelas dan latihan rutin memastikan kesiapan organisasi menghadapi berbagai jenis insiden.
- Kepatuhan Hukum dan Regulasi: Pastikan organisasi mematuhi semua peraturan yang berlaku melalui audit berkala.
Insiden MOVEit Transfer menjadi pengingat pentingnya manajemen risiko IT. Dengan pendekatan yang melibatkan monitoring berkelanjutan, pelatihan karyawan, dan kepatuhan terhadap regulasi, organisasi dapat mengurangi risiko dan membangun masa depan yang lebih aman di era digital ini. Risiko IT bukan hanya masalah teknis, tetapi juga prioritas bisnis yang harus dikelola dengan baik oleh para pemimpin masa kini.
Artikel ini telah diterbitkan oleh ISACA, dengan judul Navigating the Treacherous Waters of IT Risk: The MOVEit Transfer Exploit as a Case Study. Artikel selengkapnya dapat dibaca di sini.
Enam Manfaat Audit Keamanan Siber dan Langkah-langkah Penting untuk Menjalankannya
Pada tahun 1980-an, Angkatan Udara AS menciptakan istilah “keamanan siber” untuk menggambarkan perlindungan terhadap jaringan komputer. Istilah ini pertama kali diperkenalkan ke publik pada tahun 1985 melalui sebuah makalah dari Angkatan Udara.
Memasuki tahun 1990-an, dengan pesatnya pertumbuhan internet, pemerintah AS membentuk National Institute of Standards and Technology (NIST) untuk mengembangkan standar keamanan siber. NIST kemudian menerbitkan Special Publication (SP) 800-53 pada tahun 1997 yang berisi kontrol keamanan untuk sistem informasi.
Seiring dengan meningkatnya frekuensi dan kecanggihan serangan siber, keamanan siber kini meliputi perlindungan semua aspek sistem dan jaringan komputer, termasuk perangkat keras, perangkat lunak, data, dan orang-orang. Dengan semakin banyaknya aktivitas yang berpindah ke dunia maya, informasi pribadi dan finansial menjadi semakin rentan terhadap serangan siber. Oleh karena itu, keamanan siber menjadi isu penting bagi perusahaan, pemerintah, dan individu. Langkah pertama yang perlu dilakukan adalah melakukan audit keamanan siber.
Audit keamanan siber membantu organisasi dari berbagai ukuran untuk mengidentifikasi dan mengurangi risiko keamanan mereka. Ini adalah pemeriksaan sistematis terhadap kontrol keamanan informasi untuk memastikan efektivitas perlindungan data dan sistem sensitif.
Enam Manfaat Audit Keamanan Siber:
- Identifikasi dan Mitigasi Risiko: Menemukan dan mengurangi kerentanan dalam sistem.
- Lindungi Informasi Sensitif: Memastikan data terlindungi dengan enkripsi dan kontrol akses.
- Patuhi Regulasi: Menjamin kepatuhan terhadap standar keamanan.
- Tingkatkan Postur Keamanan: Mengidentifikasi dan memperbaiki kelemahan dalam kontrol keamanan.
- Dapatkan Kepercayaan Pelanggan: Meningkatkan kepercayaan pelanggan dengan komitmen terhadap keamanan data.
- Pertahankan Kontinuitas Bisnis: Melindungi sistem dan data penting untuk mencegah gangguan operasional.
Langkah-langkah Melakukan Audit Keamanan Siber
Melakukan audit keamanan siber melibatkan enam langkah berikut:
- Rencanakan dan Tentukan Ruang Lingkup Audit
Auditor harus memahami lingkungan TI, tujuan, dan risiko organisasi sebelum memulai audit. Pengetahuan tentang kerangka kerja keamanan siber juga penting.
- Kumpulkan Informasi dan Data
Gunakan metode seperti:
- Penilaian Risiko: Mengidentifikasi risiko potensial terhadap infrastruktur TI.
- Alat Pemindai Kerentanan: Menemukan kerentanan dalam sistem.
- Pengujian Penetrasi: Mensimulasikan serangan untuk mengidentifikasi kelemahan.
- Evaluasi Efektivitas Kontrol Keamanan
Evaluasi kontrol seperti akses, enkripsi, dan respons insiden untuk memastikan efektivitasnya.
- Tinjau Data yang Dikumpulkan
Identifikasi kerentanan dan evaluasi efektivitas kontrol dalam menangani risiko.
- Dokumentasikan Temuan dan Buat Rekomendasi
Laporan harus jelas dan ringkas, mencakup rekomendasi perbaikan yang mudah dipahami dan diimplementasikan.
- Tindak Lanjuti Hasil Audit
Pastikan organisasi menerapkan rekomendasi dan pantau kemajuan perbaikan postur keamanan.
Audit keamanan siber yang rutin sangat penting untuk memastikan bahwa kontrol keamanan tetap efektif, kerentanan diidentifikasi dan ditangani, serta data terlindungi dengan baik. Dengan investasi dalam audit keamanan siber, organisasi dapat mengurangi risiko serangan dan pelanggaran data, memperbaiki postur keamanan, serta meningkatkan kepercayaan pelanggan.
Artikel ini telah diterbitkan oleh ISACA dengan judul Six Benefits of a Cybersecurity Audit (and 6 Steps to Perform One). Artikel selengkapnya dapat dibaca di sini.
Apakah CEO Perlu Memikirkan Risiko Secara Berbeda?
Dunia telah berubah besar dalam tiga tahun terakhir. Pandemi mengganggu kesehatan, ekonomi, dan pasar tenaga kerja. Ketidakstabilan geopolitik dan perubahan iklim semakin memperburuk kondisi, seperti terlihat dari banjir Auckland dan Siklon Gabrielle di Selandia Baru. Kini, risiko siber, inflasi, dan volatilitas makroekonomi menjadi fokus utama CEO.
Organisasi terkemuka menggunakan periode ini untuk meningkatkan ketahanan dan manajemen risiko mereka. Berikut adalah empat cara CEO mengubah pandangan mereka tentang risiko:
1. Membutuhkan Pandangan Menyeluruh tentang Risiko
Para pemimpin perlu memahami semua elemen risiko, baik strategis, operasional, regulasi, keuangan, maupun teknologi. Data memainkan peran penting dalam mendeteksi perubahan dan menciptakan intelijen risiko yang bisa ditindaklanjuti.
2. Menetapkan Selera Risiko & Mengembangkan Budaya Risiko yang Kuat
Menetapkan selera risiko membantu organisasi memahami di mana mereka bisa mengambil lebih banyak risiko untuk pertumbuhan. Selera risiko mendukung kelincahan dan keselarasan, serta mengingatkan tentang pentingnya mempertimbangkan aspek masyarakat yang lebih luas. Budaya risiko yang kuat memanfaatkan potensi keuntungan dari risiko dengan cara yang gesit, sesuai dengan tujuan organisasi.
3. Mengantisipasi Risiko Menggunakan Data
Kita tidak bisa hanya mengandalkan pengalaman masa lalu untuk memprediksi risiko di masa depan. Organisasi kini memanfaatkan data internal dan eksternal serta teknologi terbaru untuk melihat perubahan secara real-time. Data real-time digunakan dalam berbagai aspek bisnis, seperti pemasaran digital dan mobil otonom, untuk merespons risiko dengan gesit.
4. Melibatkan Komunitas Pemecah Masalah yang Beragam
Menghadapi risiko memerlukan perspektif yang beragam. Keterampilan dari berbagai bidang, seperti psikologi dan desain berpusat pada manusia, dapat membantu memprediksi dan mengelola risiko. Survei menunjukkan bahwa 70% organisasi kini memprioritaskan keberagaman dalam tim risiko dan memanfaatkan aliansi untuk meningkatkan kesadaran risiko.
Secara keseluruhan, mengelola risiko bukan hanya tentang merespons perubahan, tetapi tentang mengubah cara kita melihat dan menghadapi risiko dengan perspektif baru.
Artikel ini telah diterbitkan oleh PwC, dengan judul Should CEOs Think Differently About Risk?. Artikel selengkapnya dapat dibaca di sini.
Eropa di Garis Depan: Mengokohkan Ketahanan Siber Melalui Kolaborasi dan Inovasi
Laporan terbaru menekankan peran penting Eropa dalam memimpin ketahanan siber melalui kolaborasi strategis antara perusahaan asuransi, reasuransi, pialang, dan otoritas publik. Sejak penerapan GDPR pada 2018, permintaan asuransi siber meningkat, terutama karena serangan siber yang semakin kompleks mengancam ekonomi Eropa. Dalam konteks ini, adaptasi bisnis menjadi semakin penting.
Laporan tersebut mengidentifikasi dua tantangan utama: perang dunia maya dan risiko siber sistemik. Untuk menghadapinya, diperlukan pendekatan kolaboratif yang menyeimbangkan risiko dan cakupan asuransi, dengan pertemuan tahunan serta kemitraan publik-swasta sebagai solusi untuk mengelola risiko ini. Dialog berkelanjutan di tingkat Uni Eropa juga dianggap esensial untuk meningkatkan ketahanan siber.
Pendekatan dalam mengelola risiko siber bervariasi antara perusahaan besar dan UKM. Perusahaan besar memiliki lebih banyak sumber daya untuk mengidentifikasi dan mencegah risiko, sementara UKM seringkali kekurangan kesadaran dan sumber daya. Oleh karena itu, inovasi teknologi seperti alat pemindaian dan teknologi pra-pelanggaran sangat penting untuk membantu UKM memperkuat ketahanan siber mereka.
Pentingnya dialog dan kolaborasi antara semua pemangku kepentingan, termasuk penjamin emisi dan manajer risiko, juga ditekankan untuk memperbaiki pemahaman dan inovasi dalam pasar asuransi. Manajemen risiko rantai pasokan digital, penerapan kerangka keamanan seperti “zero trust,” serta mitigasi protokol desktop jauh dan keamanan email menjadi fokus utama untuk mengurangi paparan risiko siber.
Terakhir, dalam menghadapi serangan siber, laporan ini merekomendasikan tindakan cepat seperti isolasi sistem yang terpengaruh, pemberitahuan kepada pemangku kepentingan, dan pelaksanaan rencana respons insiden untuk meminimalisir dampak serta mencegah insiden serupa di masa depan.
Artikel ini telah diterbitkan oleh Ferma dengan judul Cyber Insurance Dialogue – How Europe Can Lead the Way to Cyber Resilience Artikel selengkapnya dapat dibaca di sini.
Kerapuhan Rantai Pasokan Global dan Pentingnya Pemantauan Risiko Secara Real-Time
Rantai pasokan global saat ini menghadapi tantangan besar dengan terjadinya gangguan di Laut Merah—salah satu rute pelayaran tersibuk dan paling berbahaya di dunia. Gangguan ini tidak hanya sekadar menghambat pergerakan kapal, tetapi juga menjadi tantangan strategis yang mengubah aturan perdagangan global.
Poin-Poin Penting
- Kerentanan Rantai Pasokan Global: Gangguan di Laut Merah menyoroti kerapuhan rantai pasokan global, terutama pada titik-titik penting, yang menyebabkan peningkatan biaya dan tantangan operasional yang lebih besar.
- Dampak Langsung: Dampak jangka pendek termasuk kenaikan harga makanan, gangguan pada sektor ritel akibat waktu pengiriman yang lebih lama, dan peningkatan profitabilitas perusahaan pengiriman.
- Perubahan Jangka Panjang: Potensi perubahan masa depan meliputi adaptasi asuransi maritim, preferensi terhadap angkutan udara untuk barang bernilai tinggi, dan tren nearshoring untuk mengurangi risiko rantai pasokan. Nearshoring adalah strategi bisnis di mana perusahaan memindahkan proses produksi atau operasi bisnisnya ke negara yang lebih dekat secara geografis dengan pasar utamanya, daripada mengalihkannya ke negara yang jauh (offshoring).
- Rekomendasi Strategi Bisnis: Untuk mengatasi gangguan ini, perusahaan harus fokus pada pemantauan rantai pasokan secara real-time, analisis risiko yang komprehensif, dan peningkatan ketahanan rantai pasokan.
Selama ini, rantai pasokan global dianggap sebagai sistem yang andal dan efisien, menghubungkan produsen dan konsumen di seluruh dunia. Namun, krisis di Laut Merah telah mengungkap kerentanannya. Konflik geopolitik yang sedang berlangsung dan ancaman terhadap pengiriman komersial telah memaksa banyak perusahaan pelayaran utama menghentikan perjalanan kapal mereka melalui rute ini dan memilih jalur alternatif yang lebih panjang melalui Tanjung Harapan. Perubahan ini menambah tujuh hingga sepuluh hari pada waktu pengiriman antara Asia dan pasar utama di Barat, yang berdampak signifikan terhadap ekonomi global.
Data dari Shanghai Containerized Freight Index (SCFI) menunjukkan lonjakan tarif pengiriman hingga 179 persen sejak pertengahan Desember, yang menekan perusahaan untuk menyeimbangkan antara menyerap biaya yang lebih tinggi atau meneruskannya kepada pelanggan. Situasi ini menekankan perlunya perusahaan untuk mengevaluasi ulang dan memperkuat strategi manajemen risiko rantai pasokan mereka.
Bergantung pada durasi gangguan, berikut beberapa dampak yang mungkin terjadi:
- Risiko Pasokan Makanan dan Kenaikan Harga: Gangguan di Laut Merah memiliki dampak langsung terhadap pasokan makanan global, terutama produk yang mudah rusak. Waktu transit yang lebih lama meningkatkan risiko pembusukan dan pemborosan, yang berujung pada penurunan ketersediaan produk segar dan kenaikan harga.
- Gangguan Ritel: Sektor ritel sangat rentan terhadap gangguan rantai pasokan. Banyak perusahaan ritel bergantung pada arus barang yang lancar dari pabrikan di Asia. Gangguan ini menyebabkan waktu pengiriman yang lebih lama dan berdampak pada siklus ritel, dari pengisian stok hingga peluncuran produk baru.
- Peningkatan Profitabilitas Perusahaan Pengiriman: Di sisi lain, perusahaan pengiriman justru mengalami peningkatan profitabilitas akibat permintaan yang tinggi dan tarif kontainer yang meningkat drastis. Ini menciptakan ketidakseimbangan dalam rantai pasokan, di mana beberapa sektor dapat mengambil keuntungan dari gangguan sementara yang lain kesulitan beradaptasi.
Jika gangguan di Laut Merah berlanjut, kita dapat melihat beberapa dampak jangka panjang seperti:
- Penyesuaian Asuransi Maritim: Gangguan jangka panjang dapat merombak lanskap risiko pengiriman melalui wilayah berbahaya, memberi peluang bagi perusahaan asuransi untuk menawarkan produk yang lebih spesifik untuk menghadapi risiko tersebut.
- Pergeseran ke Angkutan Udara untuk Barang Premium: Mengingat tantangan maritim yang berkepanjangan, angkutan udara dapat menjadi alternatif yang lebih dapat diandalkan untuk barang-barang bernilai tinggi. Meski biaya lebih tinggi, kecepatan dan keandalan angkutan udara menjadikannya pilihan yang menarik bagi produk dengan margin tinggi.
- Penekanan pada Nearshoring: Gangguan berkelanjutan dapat mempercepat tren nearshoring, yaitu memindahkan bisnis manufaktur atau pemasok ke negara-negara tetangga yang lebih dekat dengan pasar konsumen. Strategi ini bertujuan untuk mengurangi ketergantungan pada rute pengiriman jarak jauh yang berisiko dan untuk mencapai kontrol yang lebih besar atas manajemen rantai pasokan.
Menentukan Arah Terbaik ke Depan
Untuk menghadapi tantangan ini, perusahaan dapat meningkatkan kemampuan manajemen risiko rantai pasokan dengan langkah-langkah berikut:
- Pemantauan Secara Real-Time: Memanfaatkan teknologi canggih dan alat analitik untuk memantau peristiwa global secara real-time. Hal ini memungkinkan perusahaan untuk segera mendeteksi gangguan dan merespons secara proaktif.
- Fokus pada Analisis Risiko Rantai Pasokan: Menyusun kerangka kerja analisis risiko yang mencakup seluruh rantai pasokan, dari pemasok utama hingga pemasok tingkat bawah, dan mempertimbangkan berbagai faktor risiko seperti ketegangan geopolitik dan volatilitas ekonomi.
- Membangun Ketahanan Rantai Pasokan: Diversifikasi pemasok dan mitra logistik, eksplorasi moda transportasi alternatif, dan investasi dalam pelatihan dan pengembangan karyawan adalah langkah penting dalam menciptakan rantai pasokan yang lebih tangguh.
Krisis di Laut Merah bukan hanya sekadar tantangan sementara, tetapi juga panggilan bagi para pemimpin bisnis untuk mengadaptasi strategi rantai pasokan mereka agar tetap tangguh dan kompetitif di tengah ketidakpastian global yang terus meningkat. Dengan menerapkan pemantauan real-time, analisis risiko yang mendalam, dan membangun ketahanan, perusahaan dapat menghadapi tantangan hari ini dan siap menghadapi gangguan di masa depan.
Artikel ini telah diterbitkan oleh Kearney pada 26 Januari 2024, dengan judul The Fragility Of Global Supply Chains And The Imperative Of Real-Time Risk Monitoring. Artikel selengkapnya dapat dibaca di sini.