Mengelola Ancaman Siber: Fokus pada Manajemen Paparan yang Berkelanjutan
Di dunia yang terus berkembang ini, ancaman siber juga semakin canggih. Daripada mencoba melindungi terhadap setiap peristiwa keamanan, organisasi harus fokus pada manajemen paparan ancaman secara berkelanjutan. Proses ini memprioritaskan ancaman yang paling mengancam bisnis dan melibatkan lima langkah utama.
Langkah 1: Menilai Paparan Siber
Mulailah dengan mengidentifikasi “permukaan serangan” organisasi—titik masuk dan aset yang rentan. Ini termasuk perangkat tradisional, aplikasi, dan elemen yang kurang terlihat seperti akun media sosial dan sistem rantai pasokan. Pertimbangkan dua area utama untuk inisiatif CTEM (Continuous Threat Exposure Management): permukaan serangan eksternal dan keamanan Software as a Service.
Langkah 2: Mengembangkan Proses Penemuan Aset dan Profil Risikonya
Proses penemuan harus mengidentifikasi aset, kerentanan, dan risiko yang terlihat maupun tersembunyi. Keberhasilan CTEM tidak hanya ditentukan oleh jumlah aset dan kerentanan yang ditemukan, tetapi oleh seberapa baik penilaian ini mencerminkan risiko bisnis dan dampaknya.
Langkah 3: Memprioritaskan Ancaman yang Paling Berisiko
Tujuan utama adalah bukan memperbaiki setiap masalah keamanan, melainkan memprioritaskan ancaman berdasarkan urgensi, keamanan, dan potensi dampaknya terhadap organisasi. Fokuskan pada aset bernilai tinggi dan rencanakan penanganannya dengan tepat.
Langkah 4: Validasi Kemungkinan Serangan dan Reaksi Sistem
Pastikan bahwa kerentanan bisa dieksploitasi, analisis jalur serangan yang mungkin, dan periksa apakah rencana respons saat ini memadai. Penting juga untuk mendapatkan persetujuan dari semua pemangku kepentingan bisnis tentang pemicu yang memerlukan perbaikan.
Langkah 5: Mobilisasi Orang dan Proses
Jangan bergantung sepenuhnya pada otomatisasi; komunikasikan rencana CTEM kepada tim keamanan dan pemangku kepentingan bisnis, dan pastikan rencana tersebut dipahami dengan baik. Dokumentasikan alur persetujuan lintas tim untuk meminimalkan hambatan dalam penerapan dan mitigasi.
Menurut Jeremy D’Hoinne, VP Analyst di Gartner, manajemen paparan ancaman yang berkelanjutan adalah pendekatan sistemik yang efektif untuk terus memperbaiki prioritas dan menyeimbangkan dua realitas keamanan modern. Organisasi tidak dapat memperbaiki segalanya, tetapi bisa memperbaiki prioritas mereka untuk melindungi yang paling penting.
Artikel ini telah diterbitkan oleh Gartner pada 21 Agustus 2023, dengan judul How to Manage Cybersecurity Threats, Not Episodes. Artikel selengkapnya dapat dibaca di sini.
Menyusuri Insiden Keamanan Siber Paling Menakutkan di Tahun 2023
Pada Hari Halloween, merenungkan beberapa insiden keamanan siber paling menakutkan tahun 2023 sangatlah tepat. Berikut ini adalah analisis dari para ahli industri, Aaron Turner dan Shannon Lietz, tentang beberapa insiden siber paling signifikan tahun 2023.
Insiden LastPass
Insiden LastPass yang terjadi pada tahun 2022 dan 2023 berdampak besar pada komunitas keamanan karena banyaknya pengguna layanan ini untuk pembuatan dan penyimpanan kata sandi. Yang paling menakutkan adalah kesabaran penyerang yang memulai serangan dari jaringan rumah dengan port terbuka dan server media rentan.
Tim keamanan perlu mulai memantau jaringan rumah pengguna dengan hak istimewa. Beberapa langkah yang disarankan:
– Buat jaringan kerja yang terisolasi dari sistem IoT rumah.
– Perbarui dan reset harian semua peramban.
– Gunakan workstation berbasis cloud yang dibangun dari awal setiap sesi.
– Gunakan token FIDO2 perangkat keras untuk semua operasi MFA.
Rangkaian Insiden Okta
Tahun 2024 sulit bagi semua penyedia identitas, termasuk Okta yang mengalami banyak masalah. Identitas digital kini menjadi perimeter baru dalam arsitektur keamanan. Organisasi yang menggunakan layanan Microsoft 365 harus memanfaatkan kemampuan identitas tunggal Microsoft Entra dan menghindari penyedia identitas pihak ketiga.
Jika harus menggunakan Okta, pastikan koneksi antara direktori warisan dan platform federasi cloud dipantau ketat. Kurangi tambahan identitas untuk menyederhanakan rantai pasokan identitas dan mengurangi permukaan serangan.
Kerentanan Rapid Reset
Kerentanan Rapid Reset (CVE-2023-44487) menunjukkan tantangan dalam menilai kerentanan kritis dengan Common Vulnerability Scoring System (CVSS). Dengan skor 7,5 dari 10, kerentanan ini berpotensi menyebabkan pemadaman layanan. Ketika kerentanan ada di tingkat protokol, ini menunjukkan kekurangan dalam cakupan pengujian. Organisasi perlu mengevaluasi sikap risiko mereka berdasarkan profil musuh.
Peretasan MOVEit
Kerusakan akibat kerentanan zero-day/SQL injection MOVEit (CVE-2023-34362) sudah terjadi meski Progress Software cepat memberikan tambalan. Kelompok ransomware Clop memanfaatkan perangkat lunak ini untuk mencuri data dan mengirim pemberitahuan tebusan sebelum merilis data ke dark web.
Insiden ini menunjukkan pentingnya arsitektur keamanan pertahanan berlapis dan kecepatan manajemen tambalan pihak ketiga. Organisasi harus memahami persyaratan instalasi dan pemeliharaan sebagai bagian dari total biaya kepemilikan serta memastikan kontrol keamanan yang baik untuk perangkat lunak pihak ketiga.
Artikel ini telah diterbitkan oleh ISACA pada 31 Oktober 2023, dengan judul Sizing Up Some of the Spookiest Cybersecurity Incidents of 2023. Artikel selengkapnya dapat dibaca di sini.
Empat Langkah Mudah Menuju Keberlanjutan untuk CEO
Banyak perusahaan merasa kesulitan mencapai tujuan keberlanjutan mereka. Namun, dengan mengikuti empat langkah sederhana, perusahaan bisa mempercepat kemajuan mereka menuju masa depan yang lebih hijau.
Masalah Umum: Ambisi vs. Realitas
Survei terbaru Bain menunjukkan bahwa banyak eksekutif memiliki ambisi besar dalam keberlanjutan, tetapi hanya 3% yang merasa mereka berada di jalur yang benar. Masalah utama adalah kurangnya keterlibatan unit bisnis dalam pelaksanaan target keberlanjutan. Ini sering kali membuat ide-ide bagus tidak mendapat dukungan yang cukup, sehingga kemajuan menjadi lambat.
Namun, dengan pendekatan yang tepat, perusahaan bisa membangun model operasional yang mendukung keberlanjutan. Kuncinya adalah melihat keberlanjutan sebagai kesempatan, bukan hanya beban.
Empat Langkah Menuju Keberlanjutan
- Ubah Ambisi Menjadi Tujuan Konkret
Perusahaan harus menerjemahkan ambisi keberlanjutan menjadi tujuan yang jelas dan terhubung dengan operasi bisnis. Misalnya, Walmart berambisi untuk menjadi perusahaan regeneratif. Mereka melakukan diskusi mendalam tentang bagaimana mengurangi karbon dan limbah, serta telah berhasil mengurangi lebih dari 750 juta ton emisi sejak 2017. Demikian pula, Solvay, perusahaan bahan kimia, telah mengurangi emisi langsungnya sebesar 19% dan tekanan terhadap biodiversitas sebesar 28% dengan merencanakan langkah-langkah konkret. - Cari Peluang yang Menguntungkan Semua Pihak
Pertimbangkan bagaimana setiap langkah keberlanjutan bisa bermanfaat bagi berbagai pemangku kepentingan. Contohnya, Walmart sedang membangun jaringan pengisian cepat kendaraan listrik di seluruh negeri untuk mengurangi emisi dan biaya transportasi. Ini juga memberikan manfaat tambahan bagi pelanggan dan komunitas. - Dedikasikan Tim untuk Mengembangkan Solusi Baru
Beberapa inisiatif keberlanjutan memerlukan perubahan besar yang tidak bisa ditangani oleh tim biasa. Perusahaan harus membentuk tim khusus yang fokus pada inovasi keberlanjutan. Tim ini harus terlatih dan memiliki waktu yang cukup untuk mengembangkan dan menguji solusi baru. - Bangun Sistem untuk Mempercepat Penerapan
Untuk mempercepat penerapan solusi yang efektif, perusahaan harus memiliki sistem yang mendukung penskalaan ide. Walmart, misalnya, menjalankan banyak uji coba dengan umpan balik real-time untuk memperbaiki dan menyempurnakan solusi mereka. Mereka juga memiliki mekanisme untuk menghilangkan hambatan dan menyediakan sumber daya yang diperlukan.
Dengan mengadopsi langkah-langkah ini, perusahaan bisa memastikan bahwa keberlanjutan menjadi bagian integral dari bisnis mereka. Contoh dari Solvay menunjukkan bagaimana keberlanjutan dapat mengurangi risiko dan menciptakan nilai jangka panjang.
Artikel ini telah diterbitkan oleh Bain, dengan judul Organizing for Sustainability. Artikel selengkapnya dapat dibaca di sini.
Mengoptimalkan Keberhasilan dengan Generative AI: Menyeimbangkan Risiko dan Manfaat
ChatGPT, yang diluncurkan pada November 2022, menarik perhatian pasar secara cepat dengan mencapai 100 juta pengguna dalam waktu dua bulan. Antusiasme untuk memanfaatkan potensi besar Generative AI (GenAI) semakin meningkat di kalangan pemimpin bisnis.
Para pemimpin bisnis perlu memahami risiko dan manfaat yang terkait dengan GenAI. Dengan dampak disruptif potensial terhadap bisnis, penting bagi pemimpin untuk aktif terlibat dan bereksperimen dengan teknologi ini guna tetap kompetitif dan beradaptasi dengan perubahan lanskap bisnis.
Meskipun teknologi ini menjanjikan banyak hal, GenAI masih dalam tahap awal dan memerlukan kesadaran serta persiapan terhadap risiko-risiko yang mungkin muncul. Risiko ini termasuk kemungkinan perubahan dalam lanskap hukum dan regulasi yang masih berkembang.
Pertimbangan etika, tata kelola, keamanan, kepatuhan, dan manajemen perubahan harus menjadi landasan dari setiap program AI. Pembuat kebijakan perlu mengembangkan kerangka tata kelola yang mampu menangani berbagai kasus penggunaan GenAI dengan pendekatan yang sesuai.
GenAI menawarkan berbagai peluang bagi organisasi untuk berinovasi, meningkatkan interaksi pelanggan, dan menyederhanakan operasi, yang dapat meningkatkan daya saing. Beberapa aplikasi potensial dari GenAI meliputi:
Wawasan dan Dukungan Keputusan: Menganalisis data besar untuk menghasilkan wawasan yang dapat membantu pengambilan keputusan.
Otomatisasi: Mengotomatiskan tugas berulang untuk mengurangi kesalahan dan meningkatkan efisiensi.
Model Bisnis Baru: Menciptakan peluang bisnis baru seperti produk interaktif atau layanan inovatif.
Manajemen Risiko dan Kepatuhan: Memantau perubahan regulasi dan memastikan kepatuhan, serta mengambil tindakan untuk mengurangi risiko pelanggaran.
Keberhasilan dengan GenAI bergantung pada kemampuan untuk menyeimbangkan risiko dan manfaat untuk mendapatkan keuntungan yang ditawarkan teknologi ini.
Artikel ini telah diterbitkan oleh Proitiviti, dengan judul Success With Generative AI Requires Balancing Risk With Reward Artikel selengkapnya dapat dibaca di sini.
Mengelola Risiko Keamanan Data dari Teknologi AI
Dalam beberapa bulan terakhir, kecerdasan buatan (AI) telah menarik perhatian luas dengan aplikasi personal dan profesionalnya yang beragam, seperti yang ditunjukkan oleh alat seperti ChatGPT. Namun, penting juga untuk memahami risiko yang ditimbulkan oleh teknologi AI, termasuk ancaman keamanan data yang signifikan yang sudah memberikan konsekuensi tak terduga bagi perusahaan.
Teknologi AI memungkinkan pengguna untuk memasukkan lebih banyak data dan menggunakan informasi tersebut untuk mempelajari pola perilaku, memprediksi tren masa depan, dan menciptakan serta meniru karya, suara, dan gambar dengan cepat. Meskipun ini memiliki banyak manfaat bagi organisasi, para ahli memperingatkan bahwa paparan data, kehilangan kekayaan intelektual, dan risiko keamanan data lainnya akan meningkat secara eksponensial.
Contoh nyata dari risiko ini adalah insiden yang dialami Samsung pada Maret lalu. Karyawan Samsung, tanpa sadar, membocorkan informasi rahasia perusahaan ketika mereka menggunakan ChatGPT untuk memecahkan masalah terkait pekerjaan. Dalam satu insiden, seorang karyawan memasukkan urutan pengujian yang bersifat rahasia ke dalam ChatGPT untuk dioptimalkan, sementara yang lain memasukkan catatan rapat yang bersifat rahasia.
Kesalahan ini memaksa perusahaan untuk mempertimbangkan siapa yang dapat mengakses alat AI dan untuk tujuan apa. Beberapa perusahaan besar seperti Amazon, Apple, dan Verizon telah melarang penggunaan ChatGPT oleh karyawan mereka, sementara perusahaan Wall Street seperti JPMorgan Chase, Bank of America, dan Citigroup juga membatasi penggunaannya.
Namun, larangan atau pembatasan ini dapat menimbulkan masalah lain. Karyawan mungkin tetap menggunakan alat AI di tempat kerja meskipun ada kebijakan perusahaan yang melarangnya. Solusi terbaik adalah dengan memberikan panduan eksplisit kepada karyawan tentang apa yang boleh dan tidak boleh dilakukan dengan AI di tempat kerja. Selain itu, perusahaan perlu meningkatkan kesadaran risiko melalui pelatihan.
Manajer risiko memiliki peran penting dalam melindungi perusahaan dari peningkatan risiko keamanan siber dan data yang diperkenalkan oleh AI. Langkah pertama adalah melakukan penilaian risiko menyeluruh. Perusahaan harus mengevaluasi potensi risiko yang terkait dengan teknologi AI, mengidentifikasi sistem AI yang digunakan, dan mengidentifikasi celah yang perlu diatasi.
Langkah penting lainnya adalah menerapkan tata kelola data yang kuat dengan mengembangkan kebijakan dan prosedur komprehensif untuk memastikan pengumpulan, penyimpanan, dan pemrosesan data yang aman. Perusahaan harus mengenkripsi data sensitif, menerapkan kontrol akses, dan secara rutin mengaudit praktik penanganan data.
Teknologi AI berkembang dengan cepat. Organisasi dan profesional risiko perlu bertindak cepat untuk memahami risiko AI dan memastikan mereka memiliki kontrol yang tepat serta kerangka kerja tata kelola risiko yang fleksibel untuk beradaptasi dengan ancaman baru. Kurangnya tindakan dapat menempatkan data perusahaan yang berharga dalam risiko.
Artikel ini telah diterbitkan oleh ERMA, dengan judul Managing Data Security Risks of AI Technology. Artikel selengkapnya dapat dibaca di sini.
Menghadapi Bahaya Online: Tipologi Kerugian dan Inovasi Keamanan Digital
Tipologi Bahaya Online berfungsi sebagai landasan untuk membangun terminologi umum dan pemahaman bersama tentang berbagai risiko yang muncul secara online. Ini mencakup bahaya dalam produksi, distribusi, dan konsumsi konten digital. Tujuannya adalah memfasilitasi diskusi multipihak dan lintas yurisdiksi untuk memajukan keamanan digital.
Kerugian di Dunia Maya
- Kerugian dalam Produksi Konten:
Pelecehan fisik yang direkam dan dijadikan konten online, seperti video kekerasan atau pelecehan seksual.
- Kerugian dalam Distribusi Konten:
Penyebaran konten intim tanpa izin, yang dapat menyebabkan trauma bagi individu yang terlibat dan memperkuat stereotip negatif.
- Kerugian dalam Konsumsi Konten:
Dampak negatif akibat menonton konten ilegal, tidak sesuai usia, atau berbahaya.
Hak Asasi Manusia dan Kerugian Online
Laporan ini menekankan pentingnya hak asasi manusia dalam memahami dampak buruk online. Tipologi ini membantu mengembangkan kebijakan global yang seimbang dan efektif dalam mengatasi berbagai jenis kerugian online.
Peran Penyedia Layanan Online
Penyedia layanan online memiliki tanggung jawab untuk menetapkan aturan dan pedoman terkait aktivitas dan konten yang diizinkan di platform mereka. Ini penting untuk melindungi hak individu dan mencegah dampak buruk di dunia maya.
Tipologi Kerugian Online
Tipologi ini mengkategorikan bahaya online ke dalam tiga kategori utama: risiko konten, risiko kontak, dan risiko perilaku.
- Ancaman terhadap Keselamatan Pribadi dan Komunitas:
Materi Pelecehan Seksual terhadap Anak: Representasi seksual eksplisit yang melibatkan anak.
Materi Eksploitasi Seksual Anak: Konten yang bersifat seksual dan eksploitatif terhadap anak.
Materi Pro-Teror: Konten yang mendukung atau menghasut aksi terorisme.
Konten Kekerasan: Promosi atau penggambaran kekerasan yang eksplisit.
- Risiko Kontak:
Perawatan untuk Pelecehan Seksual: Usaha menjalin hubungan dengan anak untuk melakukan pelecehan seksual.
Rekrutmen dan Radikalisasi: Upaya merekrut individu ke organisasi berbahaya melalui interaksi online.
- Risiko Perilaku:
Penyalahgunaan yang Difasilitasi Teknologi: Menggunakan teknologi untuk menyalahgunakan atau mengontrol orang lain.
Kekerasan Berbasis Gender yang Difasilitasi oleh Teknologi: Penyalahgunaan yang dilakukan dengan bantuan teknologi.
Tipologi Bahaya Online memberikan kerangka kerja yang komprehensif untuk memahami dan mengkategorikan berbagai jenis kerugian online melalui perspektif hak asasi manusia. Ini memainkan peran penting dalam mengidentifikasi dampak buruk yang terjadi secara online dan menyediakan terminologi dasar untuk diskusi multipihak. Diskusi ini dapat memfasilitasi pembuatan kebijakan dan intervensi yang efektif dalam mengatasi dan mengurangi risiko terkait dampak buruk online.
Dengan menggunakan tipologi ini, semua pemangku kepentingan, termasuk perusahaan dan pemerintah, dapat mendorong pendekatan kolaboratif untuk mengatasi tantangan yang ditimbulkan oleh kerugian online dan menciptakan ekosistem digital yang lebih aman.
Artikel ini telah diterbitkan oleh World Economic Forum pada Agustus 2023, dengan judul Toolkit for Digital Safety Design Interventions and Innovations: Typology of Online Harms. Artikel selengkapnya dapat dibaca di sini.
Cara Mengurangi Kebangkrutan Bank
Kebangkrutan bank sering kali disebabkan oleh lemahnya tata kelola risiko, budaya, dan infrastruktur yang tidak memadai. Regulator biasanya merespons masalah ini dengan meningkatkan persyaratan modal, tetapi ada pendekatan yang lebih baik: penggunaan skor kualitas manajemen risiko (Risk Management Quality Score atau RMQS).
Setiap kali bank runtuh, sering terdengar bahwa pengukuran dan mitigasi risiko yang tidak efektif adalah penyebab utamanya. Regulator biasanya merespons dengan aturan yang lebih ketat, seperti meningkatkan persyaratan modal, tetapi ini tidak cukup mengatasi akar masalah: tata kelola risiko yang cacat, budaya risiko yang buruk, dan infrastruktur yang lemah.
RMQS dapat membantu mengurangi jumlah kebangkrutan bank dengan mendorong perbaikan dalam manajemen risiko. Skor ini menilai praktik manajemen risiko setiap bank secara langsung, menciptakan insentif bagi dewan direksi dan manajemen senior untuk memperbaiki budaya risiko, tata kelola, dan infrastruktur.
Dewan direksi dan manajemen senior sering kali terjebak dalam bias kognitif yang mendorong perilaku berisiko, seperti fokus pada keuntungan jangka pendek dengan mengorbankan stabilitas keuangan jangka panjang. Ini dapat diperburuk oleh kualitas budaya risiko, tata kelola, dan infrastruktur perusahaan yang buruk.
Mayoritas peristiwa risiko di bank dapat ditelusuri kembali ke kegagalan di tingkat dewan dan manajemen senior, seperti bagaimana risiko dikomunikasikan, diukur, dan dimitigasi. Persyaratan modal yang lebih tinggi, seperti proposal Basel III Endgame, hanya melindungi dari hasil manajemen risiko yang buruk, tetapi tidak menyelesaikan masalah mendasar.
Dengan menggunakan RMQS untuk menetapkan premi asuransi deposito berbasis risiko serta menentukan kebijakan dividen, pertumbuhan perusahaan, dan rencana insentif kompensasi manajemen, bank dapat membatasi kejadian risiko eksistensial dan secara signifikan meningkatkan praktik manajemen risiko.
Industri farmasi memiliki sistem penilaian serupa yang disebut Quality Management Maturity (QMM) yang dirancang oleh Food and Drug Administration (FDA) pada tahun 2022. QMM membantu mengurangi risiko pada rantai pasokan obat dengan menilai kualitas proses yang digunakan dalam pembuatan produk obat.
Regulator perbankan dapat menciptakan sistem penilaian serupa berdasarkan pilar-pilar berikut:
– Kualitas Budaya Risiko
– Kualitas Tata Kelola Risiko
– Kualitas Infrastruktur Risiko
Menggunakan matriks 2×2, skor kualitas manajemen risiko dan paparan risiko dapat dibagi menjadi empat kuadran. Bank dengan kualitas manajemen risiko tinggi (kuadran 1 dan 2) dapat mengambil eksposur risiko lebih tinggi, membayar premi asuransi deposito lebih rendah, dan mendapatkan target bonus penuh untuk manajemen.
Sebaliknya, bank dengan manajemen risiko yang buruk dan eksposur risiko tinggi (kuadran merah) tidak akan diizinkan untuk memperluas bisnis atau eksposur risiko mereka. Mereka juga akan menghadapi premi deposito yang lebih tinggi dan bonus tidak akan diizinkan hingga peringkat manajemen risiko mereka membaik.
Pendekatan penilaian kualitas manajemen risiko ini dapat membantu mengatasi masalah mendasar dalam tata kelola risiko bank dan mendorong peningkatan berkelanjutan dalam praktik manajemen risiko. Ini juga menciptakan insentif yang tepat bagi dewan direksi dan manajemen senior untuk fokus pada stabilitas jangka panjang daripada keuntungan jangka pendek. Adopsi RMQS dapat menjadi langkah penting dalam mengurangi kebangkrutan bank di masa depan.
Artikel ini telah diterbitkan oleh Garp pada 13 Oktober 2023, dengan judul How to Reduce Bank Failures: A Novel Approach. Artikel selengkapnya dapat dibaca di sini.
Bagaimana Perusahaan Teknologi Dapat Membentuk Tripod Keamanan Siber
Perusahaan teknologi selalu menjadi target serangan siber, baik sebagai penyedia maupun konsumen. Mereka perlu mengelola risiko dalam rantai pasokan perangkat lunak yang semakin kompleks, menggunakan komponen open-source untuk mempercepat siklus pengembangan. Namun, ketergantungan ini juga memperbesar risiko siber.
- Ketentuan Kontraktual
Perusahaan teknologi harus membangun perlindungan keamanan siber dalam persyaratan vendor dan kontrak mereka. Misalnya, mereka dapat mengharuskan vendor untuk memiliki sertifikasi SOC 2 atau ISO. Selain itu, mereka harus meninjau kontrak untuk menambahkan ketentuan perlindungan, ganti rugi, batasan tanggung jawab, dan kewajiban untuk mengungkapkan serta bekerja sama selama investigasi.
- Jaminan Internal
Perusahaan harus memastikan bahwa mereka telah memperkuat keamanan siber dari dalam. Ini termasuk memiliki penilaian jujur tentang kemampuan internal mereka dan langkah-langkah seperti manajemen aset TI dan basis data manajemen konfigurasi. Selain itu, perusahaan perlu mengotomatiskan pengujian keamanan perangkat lunak dan memastikan integritasnya sepanjang siklus pengembangan.
- Asuransi
Asuransi menjadi respons risiko residual klasik. Perusahaan harus mengasuransikan risiko yang tidak dapat dicegah atau dideteksi. Selain itu, persyaratan asuransi seringkali membantu mengidentifikasi risiko yang ada.
Menghadapi risiko keamanan siber, perusahaan teknologi dapat memperoleh keunggulan kompetitif dengan transparansi dan ketelitian dalam keamanan produk mereka. Pelanggan merasa lebih percaya jika perusahaan telah memenuhi persyaratan keamanan siber mereka sebelumnya.
Secara keseluruhan, perusahaan teknologi perlu mengadopsi pendekatan tiga kaki—ketentuan kontraktual, jaminan internal, dan asuransi—untuk mengelola risiko keamanan siber mereka dengan efektif.
Artikel ini telah diterbitkan oleh Grant Thornton pada 14 November 2022 dengan judul How Tech Firms Can Form A Cybersecurity Tripod. Artikel selengkapnya dapat dibaca di sini.
Pentingnya ESG Setelah COVID-19
Di era pasca-pandemi, nilai laporan lingkungan, sosial, dan tata kelola (ESG) semakin penting bagi para investor. Pandemi COVID-19 memperkuat urgensi isu ESG dan mempercepat peralihan menuju kapitalisme yang lebih inklusif.
Kapitalisme pemangku kepentingan adalah filosofi yang menyatakan bahwa perusahaan harus memperhatikan dampak mereka terhadap masyarakat dan lingkungan, bukan hanya berfokus pada keuntungan pemegang saham. Ini melibatkan menciptakan pekerjaan yang aman, menerapkan praktik berkelanjutan, dan membangun hubungan jangka panjang dengan pemasok serta pelanggan.
Meskipun kapitalisme pemangku kepentingan pernah populer di tahun 1950-an dan 1960-an, konsep ini kini kembali relevan dan sangat terkait dengan isu ESG seperti perubahan iklim, keberagaman, dan hak asasi manusia. Contoh pre-pandemi yang mendukung konsep ini termasuk Manifesto Davos dan Pernyataan Tujuan Korporasi dari Business Roundtable.
Pandemi COVID-19 tampaknya mempercepat transisi menuju kapitalisme yang lebih bertujuan dan inklusif. Perusahaan yang menangani isu-isu ESG dengan serius cenderung lebih dihargai dan dapat memiliki keuntungan kompetitif. Meskipun banyak perusahaan fokus pada bertahan hidup, isu ESG tetap krusial untuk ketahanan dan pemulihan jangka panjang.
Tekanan publik dan intervensi pemerintah, seperti paket stimulus yang terkait dengan hasil “hijau,” memperkuat fokus pada ESG. Misalnya, Dana Pemulihan Uni Eropa memerlukan alokasi 25% untuk mitigasi perubahan iklim.
Investor semakin menaruh perhatian pada isu ESG. Survei terbaru menunjukkan bahwa 72% investor melakukan tinjauan terstruktur terhadap kinerja ESG, naik dari 32% dua tahun lalu. Investor melihat perusahaan dengan kinerja ESG yang baik sebagai kurang berisiko dan lebih siap menghadapi ketidakpastian.
Contoh dorongan investor termasuk surat dari Larry Fink, CEO BlackRock, yang menyatakan bahwa perusahaan yang memprioritaskan semua pemangku kepentingan akan menjadi pemenang di masa depan. Selain itu, white paper dari World Economic Forum tentang pengukuran kapitalisme pemangku kepentingan menyarankan metrik ESG universal untuk laporan tahunan.
Tekanan untuk perubahan mengarah pada transformasi cepat di sektor energi. Dengan dukungan regulasi untuk energi terbarukan dan penurunan biaya untuk solusi solar, angin, dan penyimpanan baterai, peluang untuk dekarbonisasi sektor energi sangat besar. Diperkirakan pada 2040, lebih dari setengah pasokan listrik akan berasal dari sumber rendah karbon.
Perusahaan yang fokus pada isu ESG dan menyesuaikan diri dengan kapitalisme pemangku kepentingan mungkin memiliki keunggulan kompetitif dibandingkan mereka yang hanya kembali ke praktik bisnis lama.
Perusahaan yang mengadopsi strategi ESG yang kuat akan dianggap lebih menarik oleh investor. Pandemi COVID-19 menunjukkan kemungkinan pengurangan emisi karbon yang signifikan dan perubahan perilaku yang cepat. Fokus pada kinerja ESG akan menjadi kunci sukses dalam dunia pasca-pandemi dan mendukung ketahanan jangka panjang perusahaan.
Artikel ini telah diterbitkan oleh EY, dengan judul Why ESG Performance is Growing in Importance for Investors. Artikel selengkapnya dapat dibaca di sini.
Pendekatan Terstruktur untuk Penciptaan Nilai melalui Keberlanjutan dan Pasar Swasta
Peraturan ESG (Environmental, Social, and Governance) kini semakin penting di dunia bisnis. Perusahaan publik di seluruh dunia berusaha keras memenuhi persyaratan pengungkapan keberlanjutan, khususnya dari Uni Eropa. Dewan Standar Keberlanjutan Internasional telah menetapkan standar sukarela untuk perusahaan publik. Sementara itu, SEC (Securities and Exchange Commission) AS diperkirakan akan mengeluarkan aturan pengungkapan iklim yang dinanti pada musim gugur ini.
Walaupun pasar swasta tidak terikat langsung oleh peraturan pasar publik, mereka tetap diperhatikan oleh mitra terbatas yang mendorong integrasi prinsip ESG dalam investasi. Dana-dana swasta kini lebih serius dalam menerapkan prinsip ESG. Contohnya, CalSTRS, dana pensiun terbesar untuk pendidik, menargetkan portofolionya untuk mencapai net-zero pada 2050 atau lebih cepat. Hal ini mendorong dana publik besar ini untuk menuntut perusahaan yang mereka investasikan untuk menghadapi risiko perubahan iklim secara serius.
Dengan meningkatnya ketidakpastian terkait lingkungan dan sosial, fidusia investasi perlu melindungi portofolio dari risiko finansial dan non-finansial, termasuk risiko keberlanjutan. Keberlanjutan juga harus dipandang sebagai peluang nilai. Pendekatan terstruktur dalam integrasi ESG memastikan elemen ini memberi hasil yang menguntungkan saat keluar dari investasi.
Pendekatan Terstruktur untuk Integrasi ESG:
Untuk membuat penilaian ESG bagian dari proses investasi, komite dan tim uji tuntas harus memasukkannya dalam daftar periksa pra-akuisisi. Idealnya, perusahaan ekuitas swasta (PE) harus memiliki strategi dan tujuan ESG yang jelas. Mereka harus mengkomunikasikan persyaratan dan target keberlanjutan kepada perusahaan portofolio, lengkap dengan peta jalan untuk mencapainya.
Enam Elemen Infrastruktur Keberlanjutan:
- Strategi dan Perencanaan:
- Apa tujuan strategi ESG untuk investasi PE?
- Langkah apa yang diambil untuk mencapai tujuan tersebut?
- Apakah strategi ESG terdokumentasi dengan baik?
- Regulasi keberlanjutan apa yang berlaku untuk perusahaan portofolio ini?
- Bagaimana strategi ESG membedakan perusahaan ini di pasar?
- Bagaimana infrastruktur ESG mendukung pertumbuhan pasca-akuisisi?
- Pemangku Kepentingan dan Orang:
- Siapa pemangku kepentingan eksternal dan internal serta kepentingan mereka?
- Bagaimana hubungan antara pemangku kepentingan dengan strategi ESG?
- Tata Kelola, Risiko, dan Kepatuhan:
- Apakah ESG dimasukkan dalam daftar periksa due diligence PE?
- Bagaimana struktur tata kelola, risiko, dan kepatuhan ESG perusahaan portofolio?
- Apakah perusahaan portofolio memantau praktik ESG terbaik?
- Operasi:
- Apakah perusahaan portofolio menyesuaikan operasional untuk kinerja ESG maksimal?
- Apakah perusahaan mematuhi standar ESG untuk setiap produk atau layanan?
- Manajemen Data dan Alat:
- Teknologi apa yang digunakan untuk mengumpulkan dan menganalisis data ESG?
- Bagaimana data ESG dipetakan ke topik material?
- Kinerja dan Pelaporan:
- Kerangka kerja keberlanjutan apa yang diikuti perusahaan portofolio?
- Apakah indikator kinerja ESG sesuai dengan ekspektasi keberlanjutan PE?
Dalam menghadapi ketidakpastian terkait lingkungan dan sosial, fidusia investasi harus melindungi portofolio dari risiko yang ada. Keberlanjutan harus dianggap sebagai peluang nilai strategis. Pendekatan terstruktur dalam memperkuat posisi ESG pada akuisisi memastikan elemen ini memberikan hasil menguntungkan saat keluar dari investasi. Integrasi ESG juga mempermudah manajer investasi merespons peluang dan membuat keputusan yang bermanfaat. Keberlanjutan adalah kunci untuk hubungan investor yang kuat dan pasar modal yang berkelanjutan.
Artikel ini telah diterbitkan oleh protiviti, dengan judul Sustainability and Private Markets: A Structured Approach to Value Creation oleh Rob Gould, Alyse Mauro Mason and Marsha Vande Berg. Artikel selengkapnya dapat dibaca di sini.