Artikel

Mengelola risiko dengan efektif adalah tentang mengatur seberapa besar risiko yang diambil dengan seberapa besar perusahaan dapat menerimanya untuk mencapai tujuan strategisnya. Tahapan penilaian risiko dan manajemen risiko berkelanjutan melibatkan mengenali area yang rentan (seperti ancaman atau kondisi) dan menentukan kemungkinan dampak pada perusahaan jika risiko tersebut terjadi.

Menurut survei ISACA, 66 persen eksekutif organisasi melihat nilai dalam melakukan penilaian risiko Teknologi Informasi (TI). Namun, frekuensi pelaksanaan penilaian risiko bervariasi. Beberapa melakukan per tahun, beberapa kwartalan, bahkan bulanan.

Mengapa ada variasi dalam melakukan penilaian risiko ketika pemimpin senior menganggapnya penting? Salah satu alasannya, banyak penilaian risiko digabung dengan penilaian kontrol. Keduanya penting tapi berbeda. Penilaian risiko melihat ke depan, mengevaluasi ketidakpastian, sementara penilaian kontrol melihat fakta keberadaan kontrol. Keduanya harus ditangani secara terpisah.

Kurangnya proses identifikasi risiko proaktif di organisasi bisa menjadi penyebabnya. Dalam banyak kasus, risiko baru diangkat lewat audit, bukan melalui proses identifikasi risiko. Padahal, identifikasi risiko yang tepat adalah langkah awal menuju manajemen risiko yang sukses.

Manajemen risiko yang baik membantu perusahaan beroperasi sesuai harapan. Ketika risiko dikelola dengan baik, bisa membawa keuntungan kompetitif dan membuka peluang baru. Analisis skenario membantu memahami risiko dengan lebih baik. Penilaian risiko adalah langkah pertama untuk mengelola risiko dengan sukses dan menambah nilai bagi perusahaan.

Artikel ini telah diterbitkan oleh ISACA, dengan judul Getting More Value from Risk Assessments. Artikel selengkapnya dapat dibaca di sini.

Bisnis modern tidak bisa mengabaikan ketergantungan pada alam dalam memasok barang dan jasa yang sangat dibutuhkan. Pemahaman mendalam tentang hubungan ini menjadi kunci pertama dalam pengelolaan risiko dan peluang yang dihadapi.

Ketergantungan Bisnis pada Alam

Setiap perusahaan, pada tingkat tertentu, bergantung pada alam. Alam menyediakan sumber daya berharga seperti kayu dan air, serta menyediakan perlindungan dan pemurnian lingkungan. Tanah subur, serangga penyerbuk, dan berbagai layanan ekosistem lainnya mendukung produksi dan operasi bisnis. Dari segi ekonomi, sekitar 55% dari produk domestik bruto (PDB) global—setara dengan sekitar US$58 triliun—bergantung pada alam dalam tingkat sedang atau tinggi.

Paparan Risiko Bisnis terhadap Alam

Paparan risiko bisnis terhadap gangguan alam sangatlah luas. Di beberapa industri, seperti pertanian dan kehutanan, seluruh nilai ekonomi operasi perusahaan dapat terhapus karena gangguan terhadap ekosistem. Bahkan di industri lain, setidaknya 35% nilai ekonomi operasi perusahaan menunjukkan ketergantungan yang tinggi atau sedang pada alam, yang berarti gangguan ekosistem dapat menyebabkan kerugian finansial yang signifikan.

Tantangan bagi Investor

Investor juga tidak luput dari paparan risiko alam. Lebih dari separuh nilai pasar perusahaan tercatat pada 19 bursa saham besar memiliki risiko terkait alam, karena ketergantungan perusahaan tercatat pada alam yang moderat atau tinggi.

Tindakan yang Diperlukan

Mengingat risiko yang semakin meningkat akibat penurunan kualitas alam, pemimpin bisnis harus mengambil tindakan konkret. Salah satunya adalah dengan mengukur ketergantungan dan dampak alam pada operasi perusahaan serta mengevaluasi risiko dan peluang yang terkait.

Pentingnya Kesadaran dan Tindakan

Semua industri, tanpa terkecuali, memiliki paparan terhadap risiko alam dalam rantai nilai mereka. Oleh karena itu, penting bagi perusahaan untuk melakukan inventarisasi barang-barang yang digunakan dan menelusuri sumber biologisnya. Hal ini akan membantu dalam memahami ketergantungan dan dampak alam yang mendasari operasi bisnis.

Inisiatif untuk Pengelolaan Risiko dan Peluang

Pengelolaan risiko dan peluang alam tidak hanya menjadi tanggung jawab bisnis, tetapi juga merupakan kewajiban moral dan lingkungan. Perusahaan perlu mencari model bisnis yang ramah lingkungan, mengukur dan melaporkan dampaknya secara transparan, serta menetapkan ambisi untuk memitigasi risiko dan menciptakan nilai dengan mengelola interaksi dengan alam dengan lebih baik.

Kesimpulan

Penurunan yang drastis di alam menuntut para pemimpin bisnis untuk tidak lagi mengabaikan risiko yang berasal dari kerentanan ekosistem dan hilangnya keanekaragaman hayati. Dengan memahami ketergantungan perusahaan pada alam, langkah selanjutnya adalah menentukan ancaman dan peluang yang mungkin dihadapi serta mengambil langkah-langkah proaktif untuk menuju masa depan yang berkelanjutan bagi bisnis dan masyarakat.

Artikel ini telah diterbitkan oleh pwc, dengan judul Managing nature risks: From understanding to action. Artikel selengkapnya dapat dibaca di sini.

Gerakan ESG (Environmental, Social, and Governance) tengah menghadapi momen krusial saat ini, dimana perhatian terhadap isu-isu lingkungan, sosial, dan tata kelola perusahaan semakin meningkat. Untuk membangun kepercayaan dalam ESG, terdapat lima langkah yang perlu diperhatikan:

1. Peningkatan Transparansi Indikator Gabungan: Standar dan jaminan independen diperlukan untuk memastikan informasi keberlanjutan dapat dipahami dan dibandingkan dengan jelas oleh investor.

2. Peningkatan Pemahaman tentang Penggunaan Informasi Keberlanjutan: Klarifikasi diperlukan agar semua pihak memahami bagaimana informasi keberlanjutan dapat digunakan untuk menilai risiko finansial dan dampak sosial.

3. Penerapan Kondisi yang Memungkinkan Jaminan Independen: Jaminan independen memainkan peran penting dalam membangun kepercayaan, dan hal ini melibatkan pengawasan internal, eksternal, dan regulasi yang ketat.

4. Pengembangan Taxonomi yang Dapat Dibandingkan dan Dipahami Bersama: Taxonomi yang jelas dan dapat dipahami bersama membantu mengidentifikasi aktivitas yang berkontribusi positif atau negatif terhadap lingkungan, sehingga semua pihak dapat memahami dan menggunakan informasi tersebut dengan benar.

5. Penyelesaian Hambatan bagi Peserta Pasar di Negara-negara Berkembang: Dukungan teknis dan pelatihan diperlukan untuk mengurangi hambatan bagi peserta pasar di negara-negara berkembang dalam mengungkapkan informasi keberlanjutan.

Dengan mengambil langkah-langkah ini, diharapkan kolaborasi terbuka dan pembangunan kepercayaan dalam ekosistem keberlanjutan dapat meningkatkan kualitas informasi ESG, sehingga dapat memenuhi kebutuhan investor akan informasi yang bermanfaat dan dapat dipercaya dalam pengambilan keputusan investasi.

Artikel ini telah diterbitkan oleh EY, dengan judul Five priorities to build trust in ESG. Artikel selengkapnya dapat dibaca di sini.

Dalam konteks global saat ini, istilah environmental, social, and governance (ESG) atau lingkungan, sosial, dan tata kelola sering kali menjadi pembicaraan umum. Namun, seringkali ada satu aspek yang terlupakan, yakni environment, health and safety  (EHS) atau lingkungan, kesehatan, dan keselamatan. Padahal, EHS ini memiliki peran yang sangat penting sebagai fondasi untuk mengembangkan konsep ESG.

Bayangkan, setiap perusahaan memiliki jaringan proses yang kompleks. Meskipun seringkali terlupakan, detail-detail dari EHS ini memiliki relevansi yang besar dalam membentuk dampak lingkungan, tanggung jawab sosial, dan cara perusahaan dijalankan. Beberapa pemimpin di bidang EHS telah menyadari hal ini dan mulai menerapkan strategi baru untuk memanfaatkan kekuatannya.

Hubungan antara EHS dan ESG sangatlah penting. Mulai dari manajemen limbah hingga upaya menjaga keselamatan karyawan, keduanya saling terkait dan dapat saling mendukung. Data yang dikumpulkan oleh tim EHS juga memiliki peranan yang sangat penting dalam melaporkan kinerja ESG, menunjukkan betapa pentingnya keterkaitan antara keduanya.

Namun, hal ini tidak berhenti di situ saja. Di tengah-tengah tantangan seperti perubahan iklim dan kehilangan keanekaragaman hayati, penting bagi praktik EHS untuk disesuaikan dengan tujuan ESG. Para ahli di bidang EHS telah mulai mengadopsi pendekatan yang lebih modern untuk memperhatikan kesejahteraan perusahaan dan lingkungan.

Jadi, transformasi dalam bidang EHS tidak hanya merupakan langkah untuk mencapai tujuan semata, tetapi juga merupakan dorongan untuk kemajuan yang signifikan dalam konsep ESG. Ketika perusahaan mulai bergerak menuju penerapan ESG, mereka harus mengakui peran penting yang dimainkan oleh EHS dalam membentuk masa depan yang berkelanjutan. Sebab dalam mencapai keunggulan di bidang ESG, langkah pertama yang penting adalah komitmen terhadap lingkungan, kesehatan, dan keselamatan.

Artikel ini telah diterbitkan oleh EY, dengan judul Why there can be no ESG without EHS transformation. Artikel selengkapnya dapat dibaca di sini.

Laporan Global Cybersecurity Outlook 2023 telah merilis hasil studi mengenai keamanan siber yang menggambarkan perspektif para pemimpin bisnis terhadap isu-isu krusial dalam dunia maya dan dampaknya terhadap organisasi di seluruh dunia. Dalam laporan tersebut, beberapa temuan utama mencerminkan tantangan yang dihadapi oleh komunitas bisnis global:

1. Perubahan Karakter Ancaman Siber

Ancaman siber telah berubah secara signifikan. Tidak lagi hanya masalah teknis, tetapi juga mencakup aspek geopolitik, kebijakan, dan dinamika sosial. Ancaman ini mengharuskan organisasi untuk memperluas pemahaman mereka dan mengadaptasi strategi keamanan.

2. Ketidakstabilan Geopolitik Global dan Dampaknya

Ketidakstabilan geopolitik global telah memengaruhi persepsi dan pandangan dunia bisnis terhadap keamanan siber. Hal ini telah membantu menutup kesenjangan persepsi antara dunia usaha dan lingkungan keamanan.

3. Dampak Serangan Siber yang Meningkat

Sebanyak 43% pemimpin organisasi meyakini bahwa dalam dua tahun mendatang, serangan siber akan memiliki dampak signifikan terhadap operasional organisasi mereka. Hal ini menandakan eskalasi risiko yang harus dihadapi secara serius.

4. Perlindungan Data dan Keamanan dalam Konteks Geopolitik

Fragmentasi geopolitik telah meningkatkan tantangan perlindungan data dan keamanan siber, mempengaruhi operasional bisnis dan investasi lintas batas.

5. Kontrol Terhadap Rantai Pasokan dan Mitra Komersial

Pemimpin bisnis mengakui bahwa risiko keamanan siber organisasi mereka terpengaruh oleh kualitas keamanan di seluruh rantai pasokan dan mitra komersial. Langkah-langkah pengawasan dan evaluasi kembali menjadi penting dalam menanggapi masalah ini.

6. Transformasi Digital dan Keamanan

Banyak organisasi yang sedang menjalankan proyek transformasi digital besar-besaran, tetapi keamanan siber harus menjadi fokus utama dalam setiap langkah transformasi ini.

7. Peran Regulasi dan Kepatuhan

Eksekutif bisnis kini melihat undang-undang privasi data dan regulasi keamanan siber sebagai alat yang efektif untuk mengurangi risiko siber di sektor mereka.

8. Interaksi antara Dunia Maya dan Pemimpin Bisnis

Interaksi antara dunia maya dan para pemimpin bisnis menjadi lebih terstruktur, dengan 56% pemimpin keamanan yang mengadakan pertemuan bulanan atau lebih sering dengan dewan direksi mereka.

9. Budaya Keamanan dan Komunikasi Efektif

Membangun budaya keamanan yang efektif membutuhkan penggunaan bahasa umum dan metrik yang dapat dimengerti oleh seluruh anggota dewan dan bisnis, serta memperkuat diskusi risiko siber di seluruh organisasi.

10. Tantangan Rekrutmen dan Retensi Talenta Siber

Rekrutmen dan retensi talenta siber tetap menjadi tantangan utama dalam mengelola ketahanan siber organisasi.

Dengan menyajikan isu-isu keamanan siber oleh para eksekutif di tingkat dewan, organisasi dapat lebih siap dalam menghadapi ancaman siber yang terus berkembang di era digital ini.

Artikel ini telah diterbitkan oleh World Economic Forum, dengan judul Global Cybersecurity Outlook 2023. Artikel selengkapnya dapat dibaca di sini.

Otoritas Jasa Keuangan (OJK) menekankan pentingnya meningkatkan integritas dan kompetensi dalam bidang manajemen risiko di sektor jasa keuangan. Hal ini disampaikan dalam Kick Off Meeting Profesi Manajemen Risiko Sektor Jasa Keuangan (SJK) Tahun 2024 di Jakarta pada 15 Maret 2024.

Ketua Dewan Audit OJK, Sophia Wattimena, merangkap Anggota Dewan Komisioner, menyoroti perlunya penguatan peran profesi manajemen risiko di tengah perkembangan industri jasa keuangan dan perekonomian yang cepat. Risiko-risiko seperti cybersecurity, business continuity, dan human capital menjadi sorotan utama di kawasan Asia Pasifik, termasuk Indonesia.

Sophia juga mencatat beberapa tantangan risiko yang dihadapi sektor jasa keuangan pada tahun 2024, termasuk berakhirnya kebijakan stimulus Covid-19, penguatan permodalan lembaga keuangan, dan penerapan standar akuntansi baru. Selain itu, penerapan hukum Anti Pencucian Uang dan Pencegahan Pendanaan Terorisme (APU PPT) serta pendanaan senjata pemusnah massal menjadi perhatian khusus seiring keanggotaan Indonesia di Financial Action Task Force (FATF).

OJK sebagai regulator berkomitmen untuk menguatkan sektor jasa keuangan melalui berbagai kebijakan, termasuk fungsi Governance, Risk, and Compliance (GRC). Kolaborasi dengan pemangku kepentingan, termasuk profesi manajemen risiko, akan ditingkatkan untuk memperkuat kompetensi di bidang GRC dan teknologi informasi.

Ketua Umum Indonesia Risk Management Professional Association (IRMAPA), Charles R. Vorst, menekankan pentingnya mengacu pada standar praktik terbaik dunia ISO 31000 untuk membangun praktik manajemen risiko yang efektif dan sehat, dengan peran serta aktif dari para pimpinan.

Artikel ini telah diterbitkan oleh OJK, dengan judul OJK Dorong Penguatan Peran Profesi Manajemen Risiko. Artikel selengkapnya dapat dibaca di sini.

Tahun 2023 menjadi tahun terpanas yang pernah ada, menunjukkan dampak perubahan iklim pada komunitas dunia. Antara tahun 2011 dan 2020, suhu di seluruh dunia naik rata-rata 1,1 derajat Celsius lebih tinggi dibandingkan dengan tahun 1850-1900. 

Laporan Intergovernmental Panel on Climate Change (IPCC) tahun 2023 menyatakan bahwa perubahan iklim telah menyebabkan cuaca ekstrem di seluruh dunia, dengan kerugian yang semakin meningkat seiring kenaikan suhu global.

Tren ini juga menyebabkan peningkatan bencana alam. Pada 9 bulan pertama tahun 2023, tercatat 239 bencana alam secara global, meningkat 214% dari tahun 1970.

Dampak perubahan iklim bukan hanya berupa statistik, tetapi juga mempengaruhi kelompok paling rentan. 2,2 miliar orang terpapar risiko banjir, 89% di antaranya tinggal di negara berpenghasilan rendah dan menengah.

Selain itu, panas ekstrem dan kekeringan menjadi ancaman serius, terutama bagi ekonomi dan komunitas di Global Selatan. Kesenjangan antara emisi tinggi dari Global Utara dan beban panas ekstrem di Global Selatan menimbulkan pertanyaan tentang keadilan iklim.

Dalam menghadapi risiko iklim, perusahaan harus mempertimbangkan dampak pada manusia, bukan hanya kerusakan pada aset fisik. Penting untuk memahami risiko fisik, transisi, dan adaptasi manusia dalam rantai pasokan, serta dampaknya pada model operasi dan produktivitas.

Mengatasi dampak perubahan iklim pada manusia harus memperhatikan dampaknya pada individu dan bisnis secara global.

Perubahan iklim menjadi risiko sosial. Dampak potensial pada lingkungan, kesehatan, dan keselamatan masyarakat harus diperhitungkan oleh organisasi. Beberapa organisasi sudah mempertimbangkan ancaman seperti penyebaran penyakit yang terkait dengan iklim.

Kesimpulannya, untuk membangun masa depan yang adil dan kuat, perubahan iklim harus dihadapi sebagai risiko sosial. Hanya dengan mengatasi dimensi sosial perubahan iklim, kita bisa menuju dunia yang berkelanjutan dan inklusif untuk semua.

Artikel ini telah diterbitkan oleh Mercer, dengan judul Mitigating the impacts of climate change pada 15 Januari 2024. Artikel selengkapnya dapat dibaca di sini.

BCG telah mengembangkan kerangka untuk memimpin industri dalam mengatasi dampak perubahan iklim pada sektor asuransi. Industri ini menghadapi krisis ganda, yaitu krisis profitabilitas bagi perusahaan asuransi dan krisis keterjangkauan bagi pelanggan. Penyesuaian pada model bisnis asuransi yang sudah ada dan langkah-langkah baru sangat diperlukan untuk menyebarkan kesadaran akan risiko.

Cuaca ekstrem menjadi krisis eksistensial bagi pemilik properti dan perusahaan asuransi. Kerugian akibat lebih dari 1.000 peristiwa cuaca ekstrem dalam beberapa tahun terakhir mencapai lebih dari $1 triliun.

Industri asuransi global menghadapi lonjakan klaim untuk bencana alam, terutama di California dan Florida, dengan peningkatan 54% dibandingkan rata-rata 10 tahun terakhir dan 115% dibandingkan rata-rata 30 tahun terakhir pada tahun 2022.

Proyeksi ke depan memperlihatkan kondisi yang semakin buruk. Menurut Swiss Re, kerugian akibat peristiwa terkait cuaca diperkirakan akan meningkat 35% hingga 120% di berbagai negara seperti Australia, Kanada, Perancis, Jerman, Jepang, Inggris, dan AS pada tahun 2040. Industri asuransi dihadapkan pada krisis profitabilitas dan keterjangkauan yang mengkhawatirkan.

BCG menawarkan kerangka terpadu untuk mengelola risiko berbasis iklim, menekankan tahapan utama dalam rantai nilai risiko dan kesiapan iklim perusahaan. Pada tahap-tahap tertentu, perusahaan dapat mengimplementasikan inisiatif yang melibatkan tiga set utama pemangku kepentingan: kapabilitas perusahaan asuransi, layanan pelanggan, dan kerjasama ekosistem.

Perusahaan asuransi perlu meningkatkan kapabilitas mereka dalam pengelolaan risiko, mengadopsi model prediktif yang kuat, dan meningkatkan pemahaman akan risiko iklim. Pelayanan pelanggan harus membangun kesadaran dan rencana mitigasi risiko yang efektif di tingkat individu dan komunitas. 

Kolaborasi dengan pembuat kebijakan dan regulator diperlukan untuk menyesuaikan aturan ekosistem dengan realitas iklim saat ini dan mendukung proyek-proyek infrastruktur adaptasi iklim.

Semua pihak terlibat bersama dalam masalah ini dan kerjasama lebih lanjut serta pertukaran informasi diperlukan untuk menyesuaikan industri asuransi dengan lingkungan baru. Beberapa langkah konkret dapat diambil oleh industri ini untuk membantu setiap kelompok pemangku kepentingan, termasuk perbaikan model prediktif, peningkatan investasi dalam riset pencegahan, dan advokasi untuk pelatihan pemerintah terkait isu iklim.

Industri asuransi memiliki kapasitas dan motivasi untuk memimpin perubahan, tetapi harus segera beradaptasi dengan realitas iklim baru untuk menciptakan masa depan yang lebih aman dan tangguh.

Artikel ini telah diterbitkan oleh BCG, dengan judul An Insurance Risk Framework for Climate Adaptation pada 4 Desember 2023. Artikel selengkapnya dapat dibaca di sini.

Risiko model dan algoritmik telah mengalami evolusi yang signifikan dalam lingkungan keuangan, memerlukan pendekatan manajemen risiko model yang kokoh. Penerapan suatu kerangka manajemen risiko model yang efektif sangat penting, terutama dalam menghadapi kompleksitas model yang semakin meningkat.

Pentingnya manajemen risiko model semakin menonjol seiring dengan pertumbuhan volume data dan kemajuan teknologi, termasuk pengenalan kecerdasan buatan (AI) dan mesin pembelajaran. Model dan algoritma menjadi inti dari setiap operasi lembaga keuangan, dari desain produk hingga manajemen risiko, kepatuhan, dan audit internal.

Namun, dengan meningkatnya keterlibatan pengguna dalam pengembangan model, terutama melalui cloud computing dan algoritma sumber terbuka, risiko model pun meningkat. Generasi baru model ini sering kali tidak tunduk pada sistem pengujian dan struktur pengelolaan yang sama seperti model tradisional.

Faktor-faktor Risiko

Demokratisasi pengembangan model dalam lembaga keuangan menyebabkan peningkatan kecepatan inovasi, tetapi juga membawa risiko operasional, regulator, keuangan, atau reputasi yang lebih tinggi. Faktor-faktor risiko utama mencakup bias manusia, kekurangan teknis, kelemahan penggunaan, dan kelemahan keamanan.

Kerangka Manajemen Risiko Model yang Kokoh

Pentingnya manajemen risiko model melibatkan pemahaman mendalam terhadap model, termasuk asumsi di baliknya, serta dampaknya pada tingkat organisasi. Kerangka manajemen risiko model yang efektif harus mencakup lima pilar kunci:

1. Organisasi dan Tata Kelola: Kehadiran fungsi manajemen risiko model, disetujui oleh dewan dan melapor kepada Chief Risk Officer, yang menilai dan mengelola risiko model dan algoritmik.

2. Manajemen Siklus Hidup Model: Memantau semua tahap siklus hidup model, mulai dari pengembangan, dokumentasi, klasifikasi, validasi, hingga pemeliharaan inventaris secara berkelanjutan.

3. Kerangka Kontrol Model: Validasi awal sebelum implementasi dan tinjauan terus-menerus terhadap model dan algoritma yang memiliki tingkat risiko tertinggi.

4. Penilaian dan Kuantifikasi Risiko Model: Penilaian dan kuantifikasi risiko model dan algoritmik dengan menggunakan teknik kualitatif dan kuantitatif.

5. Proses dan Teknologi Manajemen Risiko Model: Implementasi proses dan teknologi yang tepat untuk mendukung manajemen model tradisional atau berbasis AI.

Penting untuk tidak hanya fokus pada kepatuhan, tetapi juga menanamkan budaya tata kelola model dalam organisasi. Kerangka manajemen risiko model harus memberikan panduan, standarisasi, dan saluran komunikasi yang jelas, menghasilkan efisiensi jangka panjang dalam pengembangan model dengan peningkatan tata kelola.

Risiko model dan algoritmik dapat berdampak signifikan pada reputasi, keuangan, dan kepatuhan lembaga keuangan. Dengan menerapkan kerangka manajemen risiko model yang kokoh, lembaga keuangan dapat mengoptimalkan manfaat model sambil mengurangi risiko yang terkait.

Artikel ini telah diterbitkan oleh Deloitte, dengan judul The Evolution of Model and Algorithmic Risk. Artikel selengkapnya dapat dibaca di sini.

Keamanan siber sebuah perusahaan diibaratkan sebagai pahlawan super yang bisa melawan penjahat di Marvel Cinematic Universe. Namun, kebenarannya mungkin jauh dari itu. Alat, teknologi, proses, atau sumber daya manusia telah dimanfaatkan sebaik mungkin untuk melindungi jaringan organisasi, tetapi keamanan yang tidak dapat ditembus masih belum dapat tercapai. Akar permasalahannya? Pihak ketiga.

Saat perusahaan memanfaatkan layanan pihak ketiga, ekosistem digital mereka berkembang dan terkait erat. Koneksi-koneksi baru ini memberikan celah lebih banyak bagi penyerang untuk meretas organisasi. Metode populer yang terus digunakan adalah melalui malware, yang memanfaatkan pihak ketiga sebagai pintu masuk ke jaringan perusahaan. Mari kita telaah beberapa contoh nyata dari risiko ini:

1. Pada Juni 2019, LabCorp dan Quest Diagnostics mengalami pelanggaran data dari pihak ketiga, mengakibatkan terbukanya 7,7 juta dan 11,9 juta catatan masing-masing. Peretas berhasil memanfaatkan sistem American Medical Collection Agency, pihak ketiga yang digunakan oleh kedua perusahaan tersebut.

2. Pada Juni 2017, perusahaan perangkat lunak perpajakan Ukraina, MEDoc, mengalami retas. Server mereka menyebarkan pembaruan perangkat lunak berbahaya kepada klien, menciptakan wabah NotPetya. Hampir semua perusahaan dengan kantor di Ukraina terpengaruh oleh pembaruan jahat ini karena banyak yang bergantung pada MEDoc untuk keperluan akuntansi pajak.

3. Pada 2013, pengecer Target mengalami retas ketika vendor HVAC-nya, Fazio Mechanical Services, memiliki kredensial karyawan yang diretas. Penyerang menggunakan akun ini untuk mengakses layanan web Target yang diperuntukkan bagi vendor.

Sayangnya, sumber daya dari pihak ketiga merupakan infrastruktur yang dapat dimanfaatkan dan umumnya berada di luar kendali tim keamanan organisasi. Sebab pemasok dan vendor pihak ketiga beroperasi di luar cakupan keamanan siber internal, sulit untuk mengetahui apakah materi atau sistem yang terhubung dengan jaringan perusahaan sudah terpengaruh.

Mengatasi risiko dari pihak ketiga saat ini memerlukan lebih banyak visibilitas dan koordinasi daripada sebelumnya. Berikut adalah langkah-langkah untuk mengurangi dan melindungi jaringan:

1. Berpikir seperti penyerang dan antisipasi motivasi serta tindakan mereka. Identifikasi data dan properti berharga yang mungkin menjadi sasaran.
2. Dapatkan visibilitas yang lebih dalam ke dalam jaringan di seluruh rantai pasokan digital dan fisik.
3. Perbaiki infeksi dan terus pantau ekosistem digital untuk rentang kerentanan dan gangguan baru.

Intinya, mengatasi tantangan ini mungkin memerlukan cara pandang baru terhadap keamanan. Sementara itu, pihak ketiga tetap menjadi tempat subur untuk meluncurkan serangan dan menyebarkan malware. Meningkatkan visibilitas risiko pihak ketiga melalui layanan keamanan terkelola dapat membantu perusahaan menjadi lebih tangguh dan menghemat biaya.

Artikel ini telah diterbitkan oleh Booz Allen, dengan judul Why Third Party Risk Matters in Cybersecurity. Artikel selengkapnya dapat dibaca di sini.