Waspadai Kerentanan Baru: Perangkat IoT Anda Bisa Terancam!
Temuan terbaru menunjukkan bahwa ribuan perangkat IoT (Internet of Things) mungkin rentan terhadap serangan serius. Peneliti dari Singapore University of Technology and Design menemukan 12 kerentanan terkait Bluetooth yang mempengaruhi chip dari tujuh vendor utama.
Chip ini ada di lebih dari 480 perangkat berbeda. Jika tidak ditangani, kerentanan ini bisa menyebabkan perangkat crash, mati total, dan pelanggaran keamanan. Peneliti juga telah membagikan kode eksploitasi yang mempermudah penjahat siber untuk memanfaatkan masalah ini. Jadi, jika perangkat Anda menggunakan chip yang terpengaruh, segera ambil tindakan.
Jenis Perangkat yang Terkena Dampak
Kerentanan ini bisa mempengaruhi berbagai perangkat, termasuk:
– Perangkat medis
– Sistem otomasi bangunan
– Sistem keamanan
– Perangkat otomotif
– Pencahayaan pintar
– Produk rumah pintar
– Elektronik konsumen
Dampak Kerentanan Bluetooth Low Energy (BLE)
Kerentanan ini berkaitan dengan Bluetooth Low Energy (BLE), teknologi komunikasi nirkabel yang umum digunakan oleh perangkat IoT. Dampaknya bisa bervariasi, mulai dari membuat perangkat tidak berfungsi hingga membocorkan data sensitif. Beberapa serangan bahkan bisa mempengaruhi kesehatan dan keselamatan.
Langkah-langkah yang Harus Diambil
Perusahaan yang menggunakan perangkat IoT harus segera melakukan hal berikut:
- Tinjau Inventaris Perangkat: Periksa apakah perangkat Anda menggunakan chip yang terpengaruh.
- Hubungi Vendor: Tanyakan apakah perangkat Anda terdampak dan apakah ada patch yang tersedia.
- Prioritaskan Perangkat: Urutkan perangkat berdasarkan risiko dan dampaknya, dan pertimbangkan untuk menonaktifkan BLE jika memungkinkan.
- Periksa Patch: Jika BLE tidak bisa dinonaktifkan, pastikan untuk menerapkan patch yang dirilis.
- Terapkan Kontrol Kompensasi: Batasi akses fisik ke perangkat yang tidak bisa dipatch.
- Pantau dan Edukasi: Awasi perangkat untuk aktivitas mencurigakan dan edukasi pengguna tentang risiko.
Dengan semakin banyaknya perangkat IoT, penting untuk memiliki strategi keamanan yang baik. Ini harus mencakup manajemen siklus hidup perangkat, mulai dari pengadaan hingga penghapusan, serta pengelolaan risiko dan kontrol keamanan yang tepat.
Artikel ini telah diterbitkan oleh Protiviti dengan judul It’s Time to Take a Critical Look at the Security of Your IoT Devices… Now!. Artikel selengkapnya dapat dibaca di sini.
Pembiayaan Swasta untuk Transisi Iklim di Negara Berkembang
Untuk mencapai transisi ke emisi nol bersih pada tahun 2050, investasi besar dalam mitigasi iklim diperlukan di negara-negara berkembang. Negara-negara ini, yang saat ini menghasilkan sekitar dua pertiga emisi gas rumah kaca, membutuhkan sekitar $2 triliun per tahun hingga 2030. Ini adalah peningkatan lima kali lipat dari $400 miliar yang direncanakan saat ini.
Sebagian besar investasi tersebut diharapkan berasal dari sektor swasta, dengan perkiraan 80 persen dari total investasi yang dibutuhkan. Angka ini meningkat menjadi 90 persen jika China dikecualikan.
Namun, banyak negara berkembang kekurangan pasar keuangan yang cukup maju untuk menarik investor internasional. Sebagian besar negara berkembang tidak memiliki peringkat kredit yang memadai untuk menarik investor institusional. Selain itu, investasi dalam penghapusan pembangkit listrik tenaga batu bara, yang merupakan sumber emisi gas rumah kaca terbesar, membutuhkan investasi swasta yang besar dan dukungan publik.
Di sisi lain, meskipun semakin banyak dana investasi yang memprioritaskan keberlanjutan, hanya sebagian kecil yang secara eksplisit bertujuan menciptakan dampak iklim positif. Dana yang berfokus pada faktor lingkungan, sosial, dan tata kelola (ESG) sering kali tidak secara khusus berfokus pada isu iklim.
Negara-negara berpenghasilan menengah ke bawah dan rendah juga tidak mendapatkan pengakuan yang memadai untuk kebijakan lingkungan dan iklim yang baik. Penilaian oleh lembaga pemeringkat kredit sering kali tidak mencerminkan kesiapan negara-negara ini untuk transisi rendah karbon.
Untuk menarik investasi swasta yang diperlukan, diperlukan campuran kebijakan yang luas. Kebijakan harga karbon dapat memberikan sinyal penting bagi investor, meskipun menghadapi hambatan politik. Kebijakan sektor keuangan tambahan diperlukan, termasuk memperkuat fundamental makroekonomi, memperdalam pasar modal, dan meningkatkan tata kelola. Solusi pembiayaan inovatif seperti pembiayaan campuran dan instrumen sekuritisasi juga harus digunakan.
Selain itu, diperlukan aturan yang lebih ketat mengenai penggunaan label keberlanjutan untuk meningkatkan transparansi dan integritas pasar. Bank pembangunan multilateral dan donor dapat memainkan peran penting dalam mendukung pembiayaan campuran, termasuk melalui penggunaan jaminan yang lebih luas.
IMF Resilience and Sustainability Facility dapat membantu dengan mengumpulkan pemerintah, bank pembangunan multilateral, dan sektor swasta untuk mendorong pembiayaan investasi iklim. Meskipun ukuran total alat ini hanya $40 miliar, reformasi yang didukung olehnya dapat membantu menarik lebih banyak pembiayaan iklim dari sektor swasta.
Artikel ini telah diterbitkan oleh IMF, dengan judul Emerging Economies Need Much More Private Financing for Climate Transition. Artikel selengkapnya dapat dibaca di sini.
Mengapa Keamanan Siber Semakin Penting untuk Bisnis Pribadi dan Keluarga
Lima tahun lalu, serangan malware ‘NotPetya’ membuat ribuan komputer dan sistem kontrol industri di lebih dari 60 negara menjadi lumpuh. Awalnya ditargetkan pada infrastruktur dan organisasi di Ukraina, virus ini menyebabkan kekacauan di ratusan perusahaan di seluruh dunia, bahkan memaksa banyak dari mereka untuk menghentikan operasional mereka.
Insiden ini menunjukkan betapa besar dan seriusnya ancaman siber yang dihadapi bisnis saat ini, terutama karena semakin banyak perangkat dan peralatan yang terhubung ke internet. Ini juga menegaskan peran penting konektivitas digital dalam menjaga kelangsungan operasi inti perusahaan.
Dengan digitalisasi yang semakin berkembang, teknologi dan infrastruktur yang berkualitas tinggi dan tahan lama sangat penting bagi kelangsungan dan pertumbuhan bisnis pribadi dan keluarga. Untuk menilai ketersediaan teknologi ini di suatu wilayah, ada berbagai alat dan strategi yang dapat diterapkan. Salah satu sumber berharga adalah Peta Panas Bisnis Pribadi PwC Europe, Middle-East and Africa (EMEA).
Peta Panas ini memberikan gambaran menyeluruh tentang hal-hal yang penting bagi pengambil keputusan bisnis pribadi dan keluarga. Ini mencakup metrik seperti akses broadband, penggunaan internet, dan konektivitas mobile, serta indikator lainnya seperti tarif pajak, stabilitas politik, dan emisi CO2 per kapita.
Pentingnya Keamanan Siber dalam Agenda Bisnis Pribadi
Tiga tren utama yang membuat keamanan siber semakin relevan bagi bisnis pribadi dan keluarga adalah:
- Digitalisasi dan Adopsi Cloud: Teknologi ini menawarkan peluang besar tetapi juga risiko baru. Bisnis pribadi, terutama yang berskala kecil dan menengah, seringkali tidak memiliki anggaran besar seperti perusahaan multinasional, sehingga mereka mungkin tidak siap secara digital dan hanya memiliki sumber daya terbatas untuk mengelola risiko siber. Meski demikian, ancaman siber yang dihadapi sama dengan yang dihadapi oleh organisasi besar. Dengan adopsi cloud, meski platform cloud sering kali lebih aman daripada sistem on-premise, penting untuk memastikan bahwa perjanjian dengan penyedia cloud diatur dengan benar.
- Fokus pada Teknologi Operasional (OT): OT mencakup berbagai perangkat dan mesin seperti sistem kontrol industri dan sistem logistik. Ancaman siber terhadap OT meningkat seiring dengan kemajuan seperti otomatisasi pabrik dan digitalisasi logistik. Untuk menangani ancaman ini, PwC Jerman baru-baru ini membuka Pusat Pengalaman Keamanan Siber yang fokus pada OT di Frankfurt.
- Lingkungan Ancaman yang Meningkat: Ketegangan geopolitik, seperti perang di Ukraina, meningkatkan risiko serangan siber, terutama bagi sektor seperti energi dan infrastruktur kritis. Ancaman siber yang tidak terbatas berarti setiap organisasi perlu waspada dan siap menghadapi eskalasi yang tiba-tiba.
Walaupun ancaman siber semakin berkembang, banyak solusi dan pendekatan tersedia untuk melindungi bisnis pribadi dan keluarga dengan lebih efektif.
- Praktik Keamanan Siber Dasar: Langkah pertama yang penting adalah menerapkan praktik dasar keamanan siber seperti perangkat lunak antivirus, deteksi endpoint, dan pembaruan keamanan. Mengetahui seluruh cakupan IT dan OT Anda penting untuk menutup celah berbahaya.
- Panduan dan Dukungan: Banyak panduan dari sektor publik dan swasta tersedia untuk membantu bisnis kecil. Misalnya, di Inggris, ada buletin dari National Cyber Security Centre dengan 11 langkah aksi, dan program Cyber Essentials untuk membantu SME melindungi diri mereka secara online. Uni Eropa juga menyediakan panduan, seperti makalah tentang langkah mitigasi ancaman kritis.
- Model Tanggung Jawab Bersama: Penyedia layanan cloud memiliki model tanggung jawab bersama, di mana penyedia cloud mengelola keamanan platform, sementara bisnis bertanggung jawab untuk konfigurasi layanan. Memahami model ini penting untuk memanfaatkan sepenuhnya manfaat keamanan cloud.
- Penyedia Layanan Keamanan Siber: Pastikan penyedia layanan keamanan siber Anda memiliki kemampuan yang diperlukan untuk merespons ancaman secara efektif. Selain itu, penting untuk menguji dan memperbarui rencana respons insiden dan manajemen krisis Anda.
- Kepatuhan Terhadap Standar Keamanan: Jika Anda berbisnis dengan perusahaan besar, mengamankan sistem Anda mungkin bukan pilihan, tetapi keharusan. Perusahaan besar sering kali menerapkan standar keamanan yang lebih tinggi pada rantai pasokan mereka, dan Anda mungkin akan kehilangan pelanggan besar jika tidak memenuhi standar ini.
Keamanan siber adalah kunci untuk masa depan bisnis pribadi atau keluarga.
Artikel ini telah diterbitkan oleh PwC, dengan judul Why Getting a Firm Grip on Cybersecurity is More Important than Ever for Private and Family Businesses. Artikel selengkapnya dapat dibaca di sini.
AI dan Otomatisasi untuk Keamanan Siber
Dengan meningkatnya ancaman siber, tim keamanan saat ini menghadapi realitas operasional yang baru. Transformasi digital yang dipercepat oleh pandemi telah meningkatkan jumlah pekerja jarak jauh, pengguna cloud, dan penyedia cloud. Semua sistem ini terintegrasi dalam ekosistem mitra yang luas, serta sejumlah perangkat edge yang mengirimkan data Internet of Things (IoT) ke cloud. Semua koneksi ini memperluas permukaan serangan organisasi, yang membuka peluang bagi peretas untuk mengeksploitasi celah keamanan.
Berbagai vektor ancaman baru muncul, dari pemasok yang tidak sengaja membocorkan informasi hingga karyawan yang tidak puas. Peretas menggunakan teknik seperti phishing, pencurian data, penolakan layanan, malware, dan ransomware untuk mengganggu layanan bisnis dan konsumen. Beberapa pelaku ancaman bahkan menggunakan AI musuh untuk melancarkan serangan yang lebih efisien. Biaya serangan siber semakin tinggi, dengan rata-rata biaya pelanggaran data mencapai $4,24 juta pada tahun 2021.
Mengadopsi otomatisasi berbasis AI dapat membantu tim keamanan siber meningkatkan wawasan, produktivitas, dan efisiensi skala. Kenyataan ini memaksa banyak eksekutif untuk menyadari bahwa operasi digital modern mendatangkan nilai tetapi juga menciptakan kerentanan baru. Profesional keamanan siber harus mengadopsi pendekatan yang lebih preventif dan proaktif dalam melindungi operasi bisnis inti mereka.
Untuk mempersiapkan tim mereka agar sukses, mereka perlu menggabungkan berbagai set data dan alat keamanan, sambil mengatasi kekurangan keterampilan di sumber daya keamanan siber mereka. Penelitian kami menunjukkan bahwa organisasi terkemuka sedang mengejar pendekatan maju dalam manajemen ancaman, dengan mengadopsi otomatisasi berbasis AI untuk meningkatkan wawasan, produktivitas, dan efisiensi skala.
AI untuk Keamanan Siber Semakin Populer
Sebagian besar eksekutif, baik secara global maupun di berbagai industri, saat ini mengadopsi atau mempertimbangkan penggunaan AI sebagai alat keamanan. Sekitar 64% responden telah menerapkan AI untuk kemampuan keamanan, sementara 29% masih mengevaluasi penerapannya. Hanya 7% responden yang tidak mempertimbangkan penggunaan AI untuk keamanan siber.
Sebanyak 64% yang saat ini menjalankan, menerapkan, atau mengoptimalkan solusi AI keamanan sebagai “Pengadopsi AI”. Mereka melaporkan bahwa aplikasi AI telah memberikan dampak positif yang signifikan terhadap hasil keamanan mereka. Ini termasuk kemampuan untuk menangani ancaman tingkat 1 dengan lebih efektif, mendeteksi serangan dan ancaman zero-day, serta mengurangi positif palsu dan gangguan yang memerlukan inspeksi analis manusia.
Keuntungan AI: Pengadopsi AI Meningkatkan Kinerja
Pengadopsi AI berhasil memadukan sistem AI dengan kecerdasan manusia untuk memperluas visibilitas mereka di lanskap digital yang berkembang pesat dari aplikasi dan titik akhir. Sekitar 35% menyebut penemuan titik akhir dan manajemen aset sebagai salah satu penggunaan utama AI mereka saat ini, dengan rencana untuk meningkatkan penggunaannya menjadi hampir 50% dalam 3 tahun ke depan.
Menghadapi kekurangan tenaga ahli, organisasi juga beralih ke AI untuk meningkatkan produktivitas sumber daya mereka yang terbebani. AI dan otomatisasi membantu tim mengelola volume dan kecepatan ancaman keamanan yang sangat besar. Sekitar 34% Pengadopsi AI mengatakan deteksi ancaman adalah salah satu penggunaan utama AI mereka saat ini, membantu mereka memperoleh efisiensi dari deteksi anomali secara real-time. Mereka juga menilai deteksi dan respons otomatis serta intelijen ancaman sebagai aplikasi penting, dengan rencana untuk meningkatkan penggunaan AI dalam kemampuan ini dalam 3 tahun ke depan.
Peluang AI dan Otomatisasi
Pengadopsi AI yang berkinerja tinggi menunjukkan potensi AI untuk mengubah operasi pertahanan siber. Penggunaan AI mereka membantu memperkuat keamanan jaringan dengan memantau 95% komunikasi jaringan dan 90% perangkat titik akhir untuk aktivitas dan kerentanannya. Mereka memperkirakan bahwa AI membantu mereka mendeteksi ancaman 30% lebih cepat, serta meningkatkan waktu respons terhadap insiden dan investigasi. Mereka juga mengalami peningkatan pengembalian investasi keamanan sebesar 40%.
Artikel ini telah diterbitkan oleh IBM, dengan judul AI and Automation for Cybersecurity. Artikel selengkapnya dapat dibaca di sini.
Memahami ESG: Faktor, Regulasi, dan Manfaat bagi Perusahaan
Di era sekarang, perusahaan menghadapi tuntutan tinggi terkait Environmental, Social, and Governance (ESG). ESG adalah cara menilai kemajuan sebuah perusahaan dalam hal keberlanjutan berdasarkan faktor lingkungan, sosial, dan tata kelola.
Faktor Lingkungan: Menilai dampak perusahaan terhadap perubahan iklim, pengelolaan limbah, dan efisiensi energi.
Faktor Sosial: Mengukur kepatuhan terhadap hak asasi manusia, standar tenaga kerja, dan kesehatan serta keselamatan kerja.
Faktor Tata Kelola: Meliputi aturan tata kelola perusahaan, kepemimpinan, gaji eksekutif, dan hak pemegang saham.
Peraturan ESG Global
- Amerika Serikat: Securities and Exchange Commission (SEC) mempertimbangkan kewajiban pelaporan ESG, meskipun tidak selalu terkait dengan aspek finansial.
- Negara-Negara Lain: Negara seperti Denmark, Afrika Selatan, China, Malaysia, dan Filipina mewajibkan pelaporan ESG. Uni Eropa dan beberapa negara lainnya juga sedang memperbarui regulasi terkait pelaporan ESG.
- India: Securities and Exchange Board of India (SEBI) memperkenalkan Business Responsibility and Sustainability Report (BRSR) yang mewajibkan perusahaan teratas untuk melaporkan informasi ESG pada tahun 2022-2023.
Investasi ESG tidak hanya mempertimbangkan risiko tetapi juga dampak positif terhadap masyarakat. ESG dapat meningkatkan keuntungan perusahaan, kepercayaan pemegang saham, serta memberi manfaat pada masyarakat dan lingkungan.
Tanggung Jawab Individu dan Perusahaan
Tanggung Jawab Individu: Setiap orang dapat berkontribusi pada ESG melalui langkah-langkah kecil, seperti mengurangi limbah dan mendukung keberlanjutan. Misalnya, menanam tanaman di teras rumah untuk mendukung lingkungan.
Langkah Aksi untuk Perusahaan:
- Hubungkan Kinerja Non-Finansial dengan Finansial: Pertimbangkan risiko ESG dan integrasikan dalam model bisnis.
- Analisis Risiko Iklim: Bangun pendekatan analisis risiko perubahan iklim dan transisi ke masa depan terdekarbonisasi.
- Tingkatkan Pelaporan Non-Finansial: Perbaiki proses pelaporan untuk membangun kepercayaan.
ESG adalah tanggung jawab kita semua.
Artikel ini telah diterbitkan oleh ISACA, dengan judul Insights into Environmental, Social and Governance (ESG) Karya Chetan Anand. Artikel selengkapnya dapat dibaca di sini.
Mengenal Risiko Teknologi Baru dan Cara Mengelolanya
Dalam beberapa waktu terakhir, kita telah menyaksikan beberapa pelanggaran keamanan yang mencengangkan, seperti yang terjadi pada British Airways, Boots, dan BBC. Kelompok penjahat siber seperti Clop bekerja dengan kecepatan tinggi untuk menemukan dan memanfaatkan celah keamanan, seperti yang terjadi pada aplikasi transfer dokumen MOVEit. Biasanya, penjahat siber meminta tebusan secara langsung, tetapi dalam serangan ini, Clop meminta korban untuk menghubungi mereka sendiri.
Perubahan teknologi yang pesat, terutama dalam bidang kecerdasan buatan (AI), Internet of Things (IoT), dan komputasi kuantum, mendorong lahirnya produk dan layanan baru serta cara kerja yang terus berubah. Teknologi baru juga muncul sebagai respons terhadap tantangan sosial seperti perubahan iklim dan perubahan demografis, yang memicu inovasi teknologi lebih lanjut.
Namun, perubahan teknologi yang cepat juga dapat membawa risiko negatif. Risiko teknologi mengacu pada konsekuensi negatif yang mungkin timbul dari penggunaan atau penyalahgunaan teknologi, seperti pelanggaran data, serangan siber, kegagalan sistem, dan akses tidak sah ke informasi sensitif. Risiko ini dapat berdampak signifikan pada individu, organisasi, dan masyarakat.
Untuk mengelola risiko teknologi, organisasi dapat menerapkan beberapa strategi dan praktik terbaik, antara lain:
- Memahami Strategi Bisnis
Menentukan pendorong bisnis dan masalah utama yang dihadapi organisasi adalah langkah awal yang penting. Inovasi teknologi baru dapat dipelajari untuk mencocokkan masalah dengan solusi teknologi yang tepat. Penting bagi IT untuk memahami strategi, pendorong, dan masalah yang lebih luas. - Mengembangkan Strategi Teknologi
Ini meliputi pemahaman jelas tentang teknologi yang digunakan dan bagaimana teknologi tersebut akan digunakan di masa depan. Organisasi harus mengidentifikasi teknologi kunci yang penting bagi operasional organisasi dan mengembangkan strategi untuk penerapan dan manajemennya. - Melakukan Penilaian Risiko Secara Berkala
Ini termasuk mengidentifikasi potensi kerentanan dan jalur serangan serta menerapkan kontrol keamanan untuk melindungi diri dari ancaman tersebut. - Menerapkan Rencana Tanggap Insiden
Rencana tanggap insiden yang kuat harus ada untuk merespons pelanggaran keamanan dan insiden terkait teknologi dengan cepat dan efektif. Rencana ini harus mencakup prosedur untuk mengidentifikasi dan menahan insiden keamanan serta memulihkan operasi normal. - Mengikuti Tren Teknologi Terkini
Ini termasuk memantau ancaman dan kerentanan terbaru serta terus mendapatkan informasi tentang teknologi baru yang dapat memberikan peluang bagi organisasi. - Berinvestasi dalam Pelatihan dan Pendidikan
Memberikan pelatihan tentang kesadaran keamanan dan praktik terbaik dalam penggunaan teknologi secara aman dan bertanggung jawab. - Membangun Kemitraan dan Kolaborasi
Membangun kemitraan dan kolaborasi dengan organisasi lain dan penyedia teknologi dapat membantu berbagi pengetahuan tentang praktik terbaik dan memberikan akses ke teknologi serta solusi baru.
Perubahan teknologi yang cepat dapat menghadirkan berbagai faktor risiko bagi organisasi. Untuk mengurangi risiko terkait dengan kecepatan perubahan teknologi, organisasi dapat berinvestasi dalam upaya pemantauan dan peninjauan teknologi untuk tetap mendapatkan informasi tentang teknologi baru dan risikonya. Mereka juga dapat melakukan manajemen risiko proaktif untuk menangani masalah potensial sebelum muncul dan siap untuk menyesuaikan kebijakan dan proses mereka sesuai kebutuhan.
Artikel ini telah diterbitkan oleh ISACA dengan judul How to Mitigate Emerging Technology Risk. Artikel selengkapnya dapat dibaca di sini.
Menghadapi Ancaman Siber di Sektor Energi
Sektor energi kini menjadi salah satu target utama bagi para penjahat siber. Dengan basis aset yang usang dan tingkat kematangan siber yang rendah, sektor ini semakin rentan terhadap serangan. Pada tahun 2021, sektor energi mengalami kerugian sebesar US$4,65 juta akibat pelanggaran data, menempatkannya sebagai sektor dengan kerugian kelima tertinggi.
Transformasi digital yang pesat, dikombinasikan dengan pengeluaran keamanan siber yang terbatas, semakin membuka celah bagi kerentanannya. Serangan terbaru terhadap pipa di AS dan perusahaan minyak nasional (NOC) menunjukkan perlunya ketahanan siber global yang lebih baik.
Perusahaan minyak dan gas di kawasan Asia-Pasifik juga tidak luput dari ancaman. Pada tahun 2019, sistem TI salah satu perusahaan minyak dan gas diserang dan harus dimatikan, menyebabkan gangguan bisnis. Kebocoran data di NOC pada 2018 mengungkap data pribadi ribuan pelanggan. Insiden-insiden ini menggarisbawahi bahwa ancaman siber adalah masalah yang persisten, terutama dengan percepatan digitalisasi.
Sektor energi menghadapi berbagai tantangan dalam membangun ketahanan siber. Konvergensi IT dan OT menciptakan jaringan teknologi yang kompleks, sementara adopsi kerja jarak jauh akibat pandemi memperluas potensi titik paparan. Infrastruktur yang sudah ketinggalan zaman juga menjadi masalah, dengan banyak perusahaan yang masih menggunakan sistem kontrol lama. Program keamanan data sering kali tidak memadai, dan banyak yang masih bergantung pada proses manual.
Menurut survei EY Global Information Security 2021, sebagian besar perusahaan minyak dan gas menghabiskan kurang dari 1% dari pendapatan mereka untuk inisiatif keamanan siber. Hanya 39% kepala keamanan informasi (CISO) yang merasa dewan direksi mereka memahami nilai keamanan siber dan menjadikannya agenda penting.
Langkah Kunci untuk Membangun Ketahanan Siber
- Strategi dan Kerangka Tata Kelola Ketahanan Siber: Penting untuk memastikan pengawasan tingkat dewan terhadap risiko besar yang berkaitan dengan TI, OT, dan keamanan fisik. Perusahaan perlu menyusun rencana mitigasi risiko yang jelas dan mendefinisikan tanggung jawab masing-masing pemilik risiko.
- Manajemen Risiko Siber Terpadu: Identifikasi dan mitigasi risiko siber harus mencakup seluruh bisnis, dengan dukungan dana dan sumber daya yang memadai. Analisis risiko yang menyeluruh juga diperlukan.
- Kerangka “Keamanan dengan Desain”: Bangun mekanisme manajemen risiko siber yang kuat, pertimbangkan dampak residual dari risiko, dan libatkan tim operasional serta teknologi lama dalam kerangka siber.
- Teknologi Keamanan Siber Generasi Berikutnya: Lakukan analisis lingkungan siber saat ini dan yang diinginkan untuk mengukur efektivitas program keamanan. Identifikasi sistem yang perlu diperbarui dan adopsi teknologi terbaru untuk mitigasi risiko.
- Rencana Tanggap Insiden dan Tindakan Darurat: Kembangkan rencana tanggap insiden yang rinci dan lakukan simulasi berkala untuk menguji kemampuan perusahaan dalam merespons krisis.
- Budaya dan Tenaga Kerja: Ciptakan budaya yang sadar risiko dan pastikan seluruh karyawan memahami kebijakan dan proses keamanan siber.
Dengan transformasi digital yang terus berkembang di sektor energi, penting untuk membangun ketahanan siber yang kuat agar bisa menghadapi ancaman di lingkungan yang semakin dinamis. Investasi dalam ketahanan siber sekarang adalah kunci untuk maju dengan percaya diri di masa depan.
Artikel ini telah diterbitkan oleh EY dengan judul How Digital Transformation Must Go in Hand with Cyber Resilience. Artikel selengkapnya dapat dibaca di sini.
Menang di 2030: Bagaimana Industri Pertahanan Harus Berubah
Dalam perlombaan teknologi yang semakin sengit antara kekuatan besar dunia, kemampuan untuk mengembangkan dan menerapkan teknologi dengan cepat dan efisien menjadi kunci utama untuk meraih keunggulan. Amerika Serikat, misalnya, meskipun terus memproduksi program-program kompleks seperti jet tempur F-35 dan helikopter kargo berat CH-53K, masih menghadapi banyak peluang untuk perbaikan. Strategi Pertahanan Nasional AS secara tegas menyatakan bahwa “sistem saat ini terlalu lambat,” menciptakan tantangan jangka panjang dalam hal kemutakhiran, sinergi, dan efisiensi biaya.
Heidi Shyu, Wakil Menteri Pertahanan untuk Penelitian dan Teknologi, menekankan pentingnya merombak proses departemen untuk mencerminkan lanskap dinamis saat ini dan mengantisipasi kebutuhan masa depan. Transformasi akan menjadi tema utama Departemen Pertahanan dalam dekade mendatang. Strategi ini mencakup beberapa poin penting:
- Pengembangan teknologi yang cepat dan efisien biaya: DoD akan menghargai eksperimen, akuisisi, dan penerapan yang cepat.
- Akses yang lebih luas ke inovasi: Pentagon akan mengikuti perkembangan pasar yang mendorong komersialisasi kemampuan militer yang relevan.
- Ketahanan yang tak tertandingi: Departemen akan memperkuat basis industri pertahanan dan rantai pasokan global yang relevan.
Empat Area Utama untuk Pemenang Masa Depan
- Disrupsi Internal
Perusahaan pertahanan perlu mengadopsi model ventura kapital, ventura korporat, unit intrapreneurship, dan jaringan ventura untuk terus meningkatkan kapabilitas mereka. Contohnya, L3Harris dengan Agile Development Group dan Northrup Grumman dengan Disruptive Concepts & Technologies (DC&T).
- Kemitraan Strategis Pemasok dan Vendor
Untuk mempercepat inovasi dan adopsi teknologi, kemitraan yang lebih luas dan mendalam dengan basis pemasok diperlukan. Ini termasuk menggabungkan model bisnis pertahanan dan komersial melalui kemitraan dan joint venture.
- Produktivitas dan Kelincahan Tenaga Kerja
Transformasi organisasi pengembangan produk diperlukan untuk memenuhi harapan pelanggan baru. Ini mencakup transparansi sumber daya, proses baru, insentif yang selaras, dan budaya trial and error. Contohnya, outsourcing layanan non-inti dan berbagi layanan untuk mengoptimalkan bakat dan mengurangi biaya.
- Ketersediaan dan Ketahanan Basis Pasokan
Pertahanan yang kompetitif memerlukan visibilitas mendalam ke dalam rantai pasokan dan kemampuan untuk merespons berbagai potensi gangguan. Penggunaan alat seperti Kearney’s PRISM SCRM dapat membantu memetakan dan mengelola risiko rantai pasokan.
Untuk menang di masa depan, perusahaan pertahanan harus terus mengganggu sistem mereka sendiri, berpartisipasi aktif dalam ekosistem pertahanan, memaksimalkan bakat, dan mengembangkan ketahanan dalam rantai pasokan mereka. Kemampuan ini bukan hanya peluang untuk maju di pasar, tetapi juga kebutuhan untuk memastikan kesiapan menghadapi tantangan masa depan.
Artikel ini telah diterbitkan oleh Kearney dengan judul Winning in 2030: How Defense Primes Must Evolve to Win. Artikel selengkapnya dapat dibaca di sini.
Pendekatan Berbasis Risiko dalam Keamanan Siber: Mengurangi Risiko Gugatan Hukum
Pandemi dan peraturan General Data Protection Regulation (GDPR) telah meningkatkan risiko litigasi yang disebabkan oleh pelanggaran data dan masalah keamanan siber dalam beberapa tahun terakhir. Serangan siber semakin meningkat dalam jumlah dan kecanggihan seiring dengan meningkatnya ketergantungan bisnis pada teknologi dan kerja jarak jauh menjadi norma.
Menurut laporan pemerintah Inggris, dua dari lima bisnis di Inggris mengalami serangan siber dalam 12 bulan hingga Maret 2021, dengan biaya rata-rata £13.400 per pelanggaran data untuk perusahaan menengah dan besar.
Jalur litigasi bagi mereka yang mengajukan klaim pelanggaran data melalui pengadilan juga telah berkembang, dengan tindakan kolektif yang mendapatkan momentum di Eropa baru-baru ini. Jumlah tindakan kolektif meningkat sebesar 120 persen antara 2018 dan 2020 seiring dengan munculnya kerangka hukum baru, dengan klaim pelanggaran data terhadap Facebook dan TikTok yang diajukan di Belanda dan terhadap Google dan British Airways di Inggris. Perkembangan ini diperkirakan akan terus berlanjut seiring negara-negara anggota UE mengimplementasikan Direktif Tindakan Perwakilan UE pada akhir 2022.
Sebuah survei terbaru yang dilakukan oleh Alvarez & Marsal dan Legal Business menunjukkan bahwa pengacara perusahaan menyadari perkembangan ini. Faktanya, 85 persen pengacara internal yang diwawancarai mengatakan bahwa pelanggaran data adalah area yang paling mungkin memicu tindakan kolektif atau litigasi kelompok.
Selain itu, sektor teknologi dan telekomunikasi dianggap sebagai sektor yang paling rentan terhadap klaim semacam itu, diikuti oleh jasa keuangan dan pariwisata. Responden juga mengharapkan pertumbuhan pesat dalam pendanaan litigasi pihak ketiga untuk mendukung peningkatan kasus.
Peningkatan tindakan kolektif yang diperkirakan sangat menonjol mengingat keputusan Mahkamah Agung dalam kasus Lloyd v Google, yang memenangkan perusahaan teknologi tersebut pada November tahun lalu. Kasus penting ini menilai apakah tindakan kelompok perwakilan dapat dilanjutkan terhadap Google atas pelanggaran undang-undang privasi. Meskipun keputusan ini mungkin disambut baik oleh banyak bisnis, itu tidak berarti bahwa pintu untuk tindakan kolektif pelanggaran data telah sepenuhnya tertutup. Faktanya, putusan tersebut mengklarifikasi poin penting tentang tindakan perwakilan dan menunjukkan formulasi klaim lain yang akan berhasil.
Alasan bagi bisnis untuk waspada terhadap risiko litigasi keamanan data mereka adalah skala dan cakupan ancaman yang terus berkembang. Kasus ransomware, khususnya, telah meningkat sejak pandemi, dengan para kriminal memperluas target mereka untuk mencakup perusahaan di sektor-sektor yang beragam seperti manufaktur makanan dan operasi bandara. Di AS, beberapa gugatan tindakan kolektif sudah bermunculan setelah serangan ransomware profil tinggi.
Hubungan dengan pihak ketiga juga memberikan lahan subur bagi serangan siber, dengan peningkatan nyata dalam pelanggaran yang terjadi melalui rantai pasokan perangkat lunak perusahaan. Dan untuk memperburuk keadaan, ada kekhawatiran yang semakin besar tentang potensi dampak keamanan siber akibat konflik di Ukraina.
Meskipun pelanggaran keamanan siber dapat dilihat sebagai hal yang hampir tak terelakkan dalam skenario yang berubah cepat ini, ada langkah-langkah proaktif yang dapat diambil bisnis untuk mengurangi risiko menjadi subjek tindakan kolektif pelanggaran data. Kepatuhan regulasi harus menjadi titik awal bagi setiap bisnis yang ingin meminimalkan ancaman serangan siber dan litigasi kelompok yang mungkin timbul. Namun, memiliki sistem yang sesuai dengan GDPR saja tidak cukup.
Untuk tetap berada di depan ancaman yang terus berkembang saat ini, perusahaan perlu beralih dari pendekatan formalitas ke pendekatan berbasis risiko di mana investasi dan upaya didefinisikan dan diprioritaskan melalui analisis biaya/manfaat.
Ini berarti melindungi informasi kritis sesuai dengan dampak bisnis – finansial, reputasi, dan kepatuhan – yang mungkin terjadi jika kehilangan kerahasiaan, integritas, atau ketersediaan data konsumen.
Kerangka kerja berbasis risiko harus mencakup teknologi, proses, dan aspek organisasi yang diperlukan untuk melindungi data pribadi dan mencegahnya jatuh ke tangan yang salah. Jika pelanggaran memang terjadi, pendekatan yang berfokus pada perusahaan ini akan membantu perusahaan merespons dengan cepat, yang sangat penting untuk membatasi kerusakan dan meminimalkan ruang lingkup litigasi kelompok di masa depan.
Perusahaan harus tetap waspada karena pelanggaran data terus muncul sebagai medan pertempuran baru yang menarik untuk perselisihan. Memasukkan keamanan siber ke dalam manajemen risiko bisnis secara umum adalah cara bagi perusahaan untuk menghadapi tantangan meningkatkan pertahanan siber mereka dan melindungi diri dari klaim tindakan kolektif.
Artikel ini telah diterbitkan oleh Alvarez & Marsal dengan judul As Data Breach Becomes A Battleground for Class Action Litigation, Companies Need to Take A Risk-based Approach to Cybersecurity. Artikel selengkapnya dapat dibaca di sini.
Strategi Dewan Direksi Membangun Kepercayaan dan Integritas dalam Keberlanjutan
Dalam era yang semakin dipenuhi dengan kekhawatiran akan perubahan iklim dan kerusakan alam, perusahaan menghadapi tekanan yang meningkat dari para pemangku kepentingan untuk bertindak lebih cepat, teliti, dan autentik. Harapan para pemangku kepentingan ini berkembang pesat baik dalam cakupan maupun intensitas, menjadikan tantangan lingkungan sebagai fokus utama untuk membangun kepercayaan mereka.
Risiko yang Mengintai di Balik Keberlanjutan
Dalam upaya memenuhi tuntutan keberlanjutan, perusahaan dihadapkan pada berbagai risiko yang dapat merusak integritas dan kepercayaan, di antaranya:
- Komitmen dan Klaim yang Tidak Tercapai atau Tidak Didukung Bukti
Banyak perusahaan membuat janji besar terkait keberlanjutan, namun sering kali gagal dalam pencapaiannya atau tidak memiliki bukti yang mendukung klaim tersebut.
- Klaim yang Tidak Berbasis Ilmiah
Beberapa perusahaan bergantung pada kompensasi karbon tanpa dasar ilmiah yang kuat, yang bisa berisiko mengaburkan kenyataan dan mengurangi kepercayaan.
- Korupsi dan Penipuan
Investasi dalam iklim dan alam sangat rentan terhadap korupsi dan penipuan, terutama karena pasar ini masih baru muncul dan belum sepenuhnya diawasi.
- Kurangnya Pertimbangan terhadap Dampak Sosial dan Komunitas
Tidak jarang perusahaan mengabaikan dampak sosial dan komunitas dalam upaya mereka untuk mencapai tujuan keberlanjutan.
- Greenwashing
Komunikasi yang menyesatkan atau mengklaim lebih hijau dari kenyataan sering kali digunakan oleh perusahaan untuk memperbaiki citra mereka tanpa tindakan nyata.
Perusahaan kini semakin terpapar risiko litigasi dan perubahan standar pelaporan. Perubahan legislatif sering kali terlambat, sehingga saat perusahaan mulai menerapkan pelaporan wajib terkait iklim atau alam, kepercayaan komunitas mungkin sudah menurun dan dapat mengakibatkan tindakan hukum. Lebih dari 2.000 kasus litigasi terkait iklim telah diidentifikasi di seluruh dunia, dengan jumlah yang meningkat dua kali lipat sejak 2015.
Peran Krusial Dewan Direksi
Dewan direksi memiliki peran penting dalam membangun dan mempertahankan kepercayaan perusahaan. Mereka harus memahami peran mereka dalam menanamkan integritas melalui empat pilar kepercayaan:
- Kemanusiaan: Menunjukkan minat dan rasa ingin tahu yang tulus terhadap kekhawatiran pemangku kepentingan terkait iklim dan alam.
- Transparansi: Berdialog secara terbuka tentang tantangan, ketidakpastian, dan kompromi yang diperlukan dalam upaya keberlanjutan.
- Kapabilitas: Memastikan bahwa kepemimpinan dan karyawan memiliki keterampilan yang diperlukan untuk memahami dan mengatasi risiko iklim dan alam dengan efektif.
- Keandalan: Mempertanggungjawabkan kepemimpinan untuk memenuhi komitmen iklim dan alam secara konsisten dan dapat diandalkan.
Membangun dan mempertahankan kepercayaan yang kuat dapat memberikan nilai yang signifikan bagi bisnis, termasuk meningkatkan loyalitas pelanggan, produktivitas karyawan, penerimaan komunitas, serta memperkuat hubungan dengan investor dan pemasok. Namun, dengan kompleksitas dan taruhannya yang tinggi, kehilangan kepercayaan pemangku kepentingan bisa terjadi dengan mudah.
Dewan direksi harus terus memantau perubahan harapan pemangku kepentingan dan memastikan integritas dalam komitmen dan klaim perusahaan. Dewan direksi juga perlu mendukung manajemen dalam menanamkan budaya yang selaras dengan tujuan perusahaan dan menerapkan perspektif sistemik saat merespons risiko iklim dan alam.
Dengan pendekatan yang tepat, perusahaan dapat menghadapi tantangan keberlanjutan dan membangun masa depan yang lebih aman dan dapat dipercaya bagi semua pemangku kepentingan.
Artikel ini telah diterbitkan oleh World Economic Forum, dengan judul The Chairperson’s Guide to Climate Integrity Earning and Enhancing Trust through the Sustainability Transition. Artikel selengkapnya dapat dibaca di sini.