Artikel

Dalam era ekosistem terintegrasi, perubahan dalam rantai pasok, interaksi pelanggan, dan cara kerja karyawan telah membentuk kompleksitas baru dan meningkatkan risiko organisasi. Dalam Revolusi Industri Keempat, risiko merambah ke luar struktur bisnis tradisional, mencakup penyedia layanan pihak ketiga dan keempat. Kejadian seperti pendaratan kapal besar Ever Given di Terusan Suez yang menghalangi kanal, menunjukkan bagaimana risiko dari pihak ketiga dapat berdampak dramatis pada perusahaan.

Teknologi telah membentuk cara perusahaan terhubung dan bekerja. Contohnya, komputasi awan yang ternyata tidak menjamin keamanan. Perusahaan sering mengalami serangan siber melalui layanan pihak ketiga, menunjukkan pentingnya memahami dan mengelola risiko pada skala yang lebih luas.

Pertanyaan muncul apakah praktik Manajemen Risiko Terintegrasi masih relevan. Dengan bisnis yang semakin kompleks dan terhubung, kontrol manajemen risiko perlu ditingkatkan, melibatkan kerja sama dengan pemangku kepentingan eksternal. Pendekatan risiko transformatif yang fokus pada identifikasi, manajemen, dan pengurangan risiko di seluruh ekosistem menjadi kunci. Namun, tantangan muncul dalam menjalankan pendekatan ini tanpa mengorbankan produktivitas dan fleksibilitas, terutama dalam industri seperti perawatan kesehatan yang sangat bergantung pada teknologi dan pihak ketiga.

Untuk mengatasi risiko baru, seperti pada sektor perawatan kesehatan, Advocate Aurora Health mengadopsi pendekatan manajemen risiko transformatif. Mereka mengintegrasikan proses manajemen risiko ke seluruh organisasi, menggunakan siklus hidup pengembangan solusi yang aman dan memperhatikan risiko pihak ketiga. Langkah ini membantu mereka secara terus-menerus mengevaluasi dan mengurangi risiko di rantai pasokan.

Kunci kesuksesan dalam manajemen risiko adalah keterlibatan pemangku kepentingan di seluruh ekosistem. Interaksi yang aktif dengan pemangku kepentingan, baik internal maupun eksternal, memperkuat tata kelola, menyempurnakan pendekatan manajemen risiko, memastikan kepatuhan, dan terus meningkatkan proses. Para praktisi risiko ditantang untuk meruntuhkan tembok internal dan eksternal, mengadopsi pendekatan yang lebih fleksibel, dan bersama-sama mengelola risiko di seluruh ekosistem. Jika tidak, kita berisiko terjebak dalam kanal manajemen risiko kita sendiri: tanpa jalan keluar.

Artikel ini telah diterbitkan oleh ISACA, dengan judul Integrated Risk Management in an Interconnected World. Artikel selengkapnya dapat dibaca di sini.

Sebuah survei terbaru dari lebih dari 500 anggota dewan global mengungkapkan bahwa tindakan tegas diperlukan untuk mengoptimalkan pengawasan risiko dan memanfaatkan peluang strategis baru. 

Saat ini, ketika berbicara tentang manajemen risiko dan strategi, dewan yang memimpin mempertimbangkan horison waktu yang lebih panjang, dengan beberapa melihat lebih dari lima tahun ke depan. Di lingkungan yang penuh ketidakpastian ini, manajemen risiko menjadi penting untuk memperkuat ketangguhan dan menciptakan nilai yang berkelanjutan.

Dewan memiliki kesempatan untuk meredefinisi pendekatan organisasi mereka terhadap manajemen risiko, tetapi pertama-tama mereka perlu mempertimbangkan kembali cara pandang dan tindakan. Survei EY yang baru mengungkapkan bahwa manajemen risiko saat ini umumnya kurang fokus pada risiko yang muncul dan tidak biasa, tidak selalu sejalan dengan strategi bisnis, dan terlalu terpaku pada situasi saat ini.

Beberapa cara efektif bagi anggota dewan untuk memperkuat manajemen risiko adalah:

1. Meresapi cara dewan beroperasi, komposisinya, dan peranannya dalam menetapkan tujuan organisasi yang melampaui hanya memaksimalkan keuntungan bagi pemegang saham.
2. Bekerja sama dengan manajemen untuk mendefinisikan, menerapkan, dan mengukur budaya perusahaan yang terinspirasi oleh tujuan dan sejalan dengan strategi organisasi.
3. Memastikan bahwa organisasi mengadopsi pendekatan berbasis data dan teknologi dalam manajemen risiko serta melaporkan ancaman yang paling penting.

Cara tersebut mendorong dewan untuk berpikir melewati tantangan hari ini untuk memahami bagaimana mereka dan organisasi mereka dapat memperkuat manajemen risiko. Hal itu mendorong pertumbuhan dan membangun ketahanan terhadap gangguan di masa depan.

Untuk mengoptimalkan manajemen risiko, pemimpin perlu mengambil tindakan berikut:

1. Risiko Dinilai dengan Perspektif Jangka Panjang:

Ketika menilai strategi dan risiko, penting untuk mempertimbangkan horison waktu yang lebih panjang, idealnya lebih dari lima tahun. Pemimpin manajemen risiko cenderung melihat lebih dari lima tahun ke depan dalam merencanakan skenario, dibandingkan dengan pengembang manajemen risiko.

Perspektif jangka panjang menjadi penting karena banyak risiko melampaui 5-10 tahun mendatang, meskipun hanya memiliki dampak marginal saat ini. Misalnya, perubahan iklim mungkin belum banyak berdampak pada sebagian besar organisasi saat ini, tetapi perubahan ini dapat menyebabkan gangguan rantai pasokan, konsumen yang tergusur, dan tekanan dari pemangku kepentingan untuk mengatasi isu tersebut.

2. Prioritas Manajemen Risiko Sejalan dengan Strategi Bisnis:

Meskipun risiko saat ini signifikan, peluang strategis jauh lebih besar. Terlihat bahwa gangguan teknologi dan perubahan ekspektasi pelanggan bukan hanya risiko besar, tetapi juga dua peluang strategis teratas bagi organisasi mereka.

Banyak organisasi berinvestasi besar-besaran dalam teknologi untuk membuat proses internal lebih efisien dan menciptakan pengalaman baru bagi pelanggan. Namun, dalam transformasi digital ini terdapat kompleksitas risiko: pelanggaran data dapat berasal dari penyedia teknologi pihak ketiga; kecerdasan buatan dapat mengandung bias; dan peningkatan pembelian online dapat meningkatkan kasus penipuan.

Manajemen risiko yang efektif sangat penting dalam perancangan dan penerapan inisiatif transformasi, mempertimbangkan berbagai potensi gangguan.

3. Fokus pada Risiko yang Muncul, Tidak Biasa, dan Eksternal:

Sebanyak 64% dewan mengatakan organisasi mereka dapat mengelola risiko tradisional secara efektif, sementara hanya 39% yang mengatakan organisasi mereka dapat mengelola risiko tidak biasa dan muncul secara efektif.

Terdapat perbedaan yang jelas antara kemampuan pemimpin manajemen risiko dan pengembang manajemen risiko dalam mengelola risiko non-tradisional. Terlihat bahwa 71% dari pemimpin efektif dalam mengelola risiko tidak biasa dan muncul, dibandingkan dengan hanya 12% dari pengembang manajemen risiko.

Artikel ini telah diterbitkan oleh EY, dengan judul The Board Imperative: Is Now the Time to Reframe Risk as Opportunity?. Artikel selengkapnya dapat dibaca di sini.

Keamanan siber menjadi perhatian utama dalam era di mana teknologi informasi terus berkembang. Menyadari pentingnya melindungi sistem dan data dari ancaman, berikut adalah daftar top 50 ancaman keamanan siber yang perlu diwaspadai:

 

1. Perebutan Akun (Account Takeover)

Ancaman ini melibatkan upaya penyerang untuk mengambil alih kendali atas akun pengguna dengan tujuan akses tidak sah.

 

2. Ancaman Persisten Tingkat Lanjut (Advanced Persistent Threats – APT)

Serangan tingkat tinggi yang bertujuan mencuri informasi secara berkelanjutan, seringkali dengan tingkat kecerdasan yang tinggi.

 

3. Serangan Amazon Web Services (AWS)

Ancaman terhadap infrastruktur dan data yang disimpan di layanan cloud Amazon Web Services.

 

4. Token Akses Aplikasi

Pencurian token akses yang digunakan untuk otentikasi aplikasi, memberikan akses tidak sah kepada penyerang.

 

5. Penipuan Tagihan

Serangan yang melibatkan manipulasi atau penipuan terhadap tagihan, merugikan secara finansial.

 

6. Serangan Brute Force

Penyerang mencoba semua kombinasi yang mungkin untuk mendapatkan akses tanpa izin.

 

7. Kompromi Email Bisnis

Pengambilalihan kontrol atas akun email bisnis untuk tujuan jahat, sering kali untuk penipuan.

 

8. Cloud Cryptomining

Penambangan kripto tanpa izin menggunakan sumber daya cloud.

 

9. Serangan Komando dan Kontrol

Penyerang mengambil kendali dan mengarahkan operasi melalui server komando dan kontrol.

 

10. Kredensial yang Dikompromikan

Informasi otentikasi yang dicuri dan dapat digunakan oleh penyerang.

 

11. Pembuangan Kredensial

Penyerang membuang kredensial yang berhasil mereka dapatkan.

 

12. Serangan Penggunaan Kembali Kredensial

Penggunaan kembali informasi otentikasi yang sama oleh pengguna.

 

13. Script Lintas Situs

Penyisipan skrip berbahaya pada situs web untuk mengeksploitasi pengguna.

 

14. Serangan Cryptojacking

Penggunaan sumber daya komputasi untuk menambang kripto tanpa izin.

 

15. Amplifikasi DNS

Memperbesar volume lalu lintas DNS untuk menyebabkan gangguan.

 

16. Pembajakan DNS

Manipulasi DNS untuk mengarahkan lalu lintas ke server yang tidak sah.

 

17. Penorowongan DNS

Menyusup ke dalam jaringan dengan memanipulasi lalu lintas DNS.

 

18. Serangan DoS (Denial of Service)

Membanjiri sistem atau layanan untuk membuatnya tidak dapat diakses.

 

19. Serangan Unduhan Drive-by

Pengguna tanpa sadar mengunduh malware saat mengunjungi situs web tertentu.

 

20. Ancaman Orang Dalam

Serangan yang melibatkan individu internal yang dapat membocorkan informasi.

 

21. Ancaman IoT (Internet of Things)

Serangan terhadap perangkat Internet of Things (IoT).

 

22. Virus Makro

Virus yang menyusup ke dalam dokumen atau spreadsheet menggunakan makro.

 

23. Powershell Berbahaya

Pemanfaatan Powershell untuk melancarkan serangan.

 

24. Malware

Perangkat lunak berbahaya yang merusak atau mengakses sistem tanpa izin.

 

25. Serangan Man-in-the-Middle

Penyerang menyusup ke dalam komunikasi antara dua pihak.

 

26. Masquerade Attack

Penyerang menyamar sebagai pengguna yang sah.

 

27. Serangan Meltdown and Spectre

Eksploitasi celah keamanan pada mikroprosesor.

 

28. Pengintaian Jaringan

Pengamatan dan pengumpulan informasi dari jaringan target.

 

29. Pengalihan Terbuka

Mengarahkan lalu lintas melalui server yang dikendalikan penyerang.

 

30. Pass the Hash

Penggunaan hash kredensial untuk otentikasi tidak sah.

 

31. Phishing

Menipu pengguna agar memberikan informasi pribadi atau kredensial.

 

32. Muatan Phishing

Pemanfaatan teknik phishing untuk menyuntikkan muatan berbahaya.

 

33. Tombak Phishing

Phishing yang menargetkan kelompok tertentu dengan tujuan tertentu.

 

34. Phishing Paus

Phishing yang menyamar sebagai pesan atau komunikasi resmi.

 

35. Pengguna Berprivilese yang Dikompromikan

Akun pengguna dengan hak akses tinggi yang dikompromikan.

 

36. Ransomware

Perangkat lunak yang memaksa pengguna membayar tebusan untuk memulihkan data.

 

37. Serangan Router dan Infrastruktur

Serangan terhadap perangkat router dan infrastruktur jaringan.

 

38. IT Bayangan

Penggunaan layanan TI tanpa persetujuan resmi dari departemen IT.

 

39. Simjacking

Serangan akun takeover yang mengeksploitasi kelemahan otentikasi dua faktor.

 

40. Serangan Rekayasa Sosial

Penggunaan manipulasi psikologis untuk mencapai tujuan keamanan.

 

41. Spyware (Perangkat Mata-mata)

Perangkat lunak yang memantau aktivitas tanpa izin pengguna.

 

42. Injeksi SQL

Penyisipan pernyataan SQL berbahaya untuk mengakses atau merusak database.

 

43. Serangan Rantai Pasokan

Eksploitasi melalui vendor atau mitra bisnis untuk mencapai target utama.

 

44. Aktivitas Penyimpanan Cloud yang Mencurigakan

Ancaman terkait pengaturan penyimpanan cloud yang salah atau lemah.

 

45. Typosquatting

Penggunaan domain dengan ejaan mirip untuk mengecoh pengguna atau entitas.

 

46. Serangan Watering Hole

Penempatan malware pada situs yang sering dikunjungi oleh target.

 

47. Pencurian Cookie Sesi Web

Pencurian informasi otentikasi melalui cookie sesi web.

 

48. Eksploitasi Zero-Day

Pemanfaatan kelemahan perangkat lunak yang baru ditemukan.

Ini adalah beberapa dari banyak ancaman yang dapat merugikan organisasi dan individu. Penting untuk selalu meningkatkan keamanan siber, mengikuti praktik terbaik, dan tetap waspada terhadap perkembangan baru dalam dunia keamanan digital.

 

Artikel ini telah diterbitkan oleh Splunk, dengan judul Top 50 Cybersecurity Threats. 

Whitepaper terbaru dari ISACA menggambarkan pentingnya manajemen risiko yang cepat tanggap untuk memenuhi tuntutan perkembangan organisasi. Metode Agile, yang menjadi sorotan, memerlukan penyesuaian dalam pengelolaan risiko agar dapat mendukung siklus rilis yang sering dan memperluas kemampuan real-time bagi pemilik risiko.

Dalam whitepaper “Menggabungkan Manajemen Risiko dalam Proyek Agile,” ISACA menekankan bahwa walaupun metode Agile dapat mengurangi risiko selama siklus sprint, risiko lain dapat muncul selama proyek, terutama di perusahaan besar. 

Risiko tersebut melibatkan aspek lingkungan eksternal, organisasi, dan proyek, seperti reputasi perusahaan, pembiayaan proyek, penerimaan pengguna terhadap perubahan bisnis, dan kepatuhan terhadap regulasi. Pengelolaan risiko semacam ini memengaruhi konteks operasional tim Agile dan memerlukan keterlibatan pimpinan proyek.

Whitepaper tersebut menyoroti bahwa efektivitas manajemen risiko Agile sangat berperan dalam kesuksesan proyek. Risiko yang tidak dikelola di luar siklus sprint dapat memberikan dampak yang merugikan pada proyek secara keseluruhan. Oleh karena itu, penting untuk mengadopsi proses manajemen risiko yang mengintegrasikan metodologi Agile dengan manajemen proyek dan risiko, sebagai kunci untuk mencapai tingkat keefektifan yang diinginkan.

Artikel ini telah diterbitkan oleh ISACA, dengan judul Agile Methodologies Require Adjustments to Risk Management. Artikel selengkapnya dapat dibaca di sini.

Para pemimpin bisnis kini dihadapkan pada “risiko siber” yang menjadi fokus utama mereka. Bagaimana perusahaan dapat melawan risiko ini, dan bagaimana perusahaan asuransi dapat membantu? Dari dua survei terhadap 800 perusahaan asuransi dan 1.000 perusahaan lain, studi terbaru menunjukkan bahwa agar sukses menghadapi risiko lingkungan digital yang saling terhubung, perusahaan asuransi dan klien perlu mempersiapkan organisasi dengan baik, membangun solusi yang tepat, dan berkolaborasi secara luas.

Teknologi digital telah mengubah kehidupan kita, baik atau buruk. Saat dunia semakin kecil dan saling terhubung, hampir semua interaksi terpengaruh. Cara orang berbicara dan berkomunikasi dengan organisasi berubah, memengaruhi hubungan dengan industri, mitra, pemasok, dan pelanggan. Disrupsi digital mendasar pada kemampuan menghubungkan semua orang dan segalanya, namun risikonya termasuk kehilangan data, pencurian, dan penyalahgunaan teknologi digital.

Organisasi penasihat industri properti dan kecelakaan, Insurance Services Office, mencatat “keamanan siber” sebagai isu bisnis terkini. Ini muncul sebelum tren seperti Internet of Things (IoT), drone, dan media sosial, semuanya terkait dengan keterhubungan digital. Bagaimana perusahaan menilai dan mempersiapkan diri terhadap risiko ini? 

Hasil survei terhadap 800 perusahaan asuransi dan 1.000 perusahaan lain menunjukkan bahwa organisasi dengan kinerja terbaik mengatasi risiko keterhubungan digital melalui asuransi tradisional dan tindakan lainnya. Mereka menggunakan keterhubungan untuk menciptakan solusi keamanan dan berkolaborasi lintas industri. Lebih dari separuh responden memperkirakan risiko keterhubungan digital akan meningkat, dengan hampir 32 persen perusahaan mengalami dampak ekonomi dalam tiga tahun terakhir.

Perusahaan asuransi, dengan hampir separuhnya menawarkan perlindungan terhadap risiko keterhubungan digital atau “asuransi siber,” berperan penting. Beberapa menyajikannya sebagai perlindungan terpisah, sementara yang lain mengintegrasikannya dengan polis yang sudah ada. Namun, peran perusahaan asuransi tidak hanya terbatas pada cakupan asuransi, melainkan berkembang menjadi penyedia layanan mitigasi dan pencegahan risiko keterhubungan digital.

Perusahaan asuransi terkemuka melangkah lebih jauh dengan menyediakan layanan tingkat tinggi, seperti cakupan fleksibel, proaktif pada titik risiko, serta pencegahan atau mitigasi risiko. Hal ini mencerminkan adaptasi model bisnis mereka untuk memenuhi tuntutan lingkungan digital yang berkembang dengan cepat. Dengan demikian, perusahaan asuransi memegang peran sentral dalam membantu perusahaan mengelola dan mengatasi risiko keterhubungan digital di masa depan.

Artikel ini telah diterbitkan oleh Institute for Business Value, dengan judul Insurance and Risk in a Digitally Interconnected World. Artikel selengkapnya dapat dibaca di sini.

Whitepaper terbaru dari ISACA menggambarkan pentingnya manajemen risiko yang cepat tanggap untuk memenuhi tuntutan perkembangan organisasi. Metode Agile, yang menjadi sorotan, memerlukan penyesuaian dalam pengelolaan risiko agar dapat mendukung siklus rilis yang sering dan memperluas kemampuan real-time bagi pemilik risiko.

Dalam whitepaper “Menggabungkan Manajemen Risiko dalam Proyek Agile,” ISACA menekankan bahwa walaupun metode Agile dapat mengurangi risiko selama siklus sprint, risiko lain dapat muncul selama proyek, terutama di perusahaan besar. 

Risiko tersebut melibatkan aspek lingkungan eksternal, organisasi, dan proyek, seperti reputasi perusahaan, pembiayaan proyek, penerimaan pengguna terhadap perubahan bisnis, dan kepatuhan terhadap regulasi. Pengelolaan risiko semacam ini memengaruhi konteks operasional tim Agile dan memerlukan keterlibatan pimpinan proyek.

Whitepaper tersebut menyoroti bahwa efektivitas manajemen risiko Agile sangat berperan dalam kesuksesan proyek. Risiko yang tidak dikelola di luar siklus sprint dapat memberikan dampak yang merugikan pada proyek secara keseluruhan. Oleh karena itu, penting untuk mengadopsi proses manajemen risiko yang mengintegrasikan metodologi Agile dengan manajemen proyek dan risiko, sebagai kunci untuk mencapai tingkat keefektifan yang diinginkan.

Artikel ini telah diterbitkan oleh ISACA, dengan judul Agile Methodologies Require Adjustments to Risk Management. Artikel selengkapnya dapat dibaca di sini.

Masa depan manajemen risiko akan menjadi sangat berbeda dari kemampuan risiko yang kita kenal saat ini. Unit bisnis akan memiliki kepemilikan yang jelas atas risiko yang mereka tanggung. Manajemen perilaku dan budaya akan menjadi bagian integral dari seluruh organisasi. Peran fungsi manajemen risiko juga akan lebih bersifat pengawasan dan tantangan yang jelas. Fungsi risiko akan disederhanakan dan lebih efisien dengan infrastruktur risiko yang dirasionalisasi, menggunakan model lokasi dan pengiriman untuk optimalisasi biaya, dan memanfaatkan kekuatan digital untuk efisiensi dan efektivitas.

Dalam dua dekade terakhir, manajemen risiko mengalami perubahan sebagai respons terhadap perubahan kondisi bisnis dan persyaratan peraturan.

1. Periode Sebelum Krisis: Sebelum krisis keuangan global, lembaga keuangan merasakan manfaat dari pertumbuhan ekonomi yang kuat.

2. Periode Krisis Keuangan: Krisis keuangan global memaksa tindakan taktis untuk menjaga operasional selama krisis modal dan likuiditas.

3. Periode Pasca Krisis: Pasca krisis keuangan, terjadi “re-regulasi” dengan pemerintah dan otoritas regulasi mengeluarkan persyaratan baru atau lebih ketat.

Lingkungan saat ini memberikan tuntutan unik pada manajemen risiko. Pertumbuhan ekonomi yang lebih lambat dan penurunan margin menekankan efisiensi dan pengurangan biaya manajemen risiko. Peraturan yang semakin ketat memerlukan perhatian lebih besar terhadap kecukupan modal dan likuiditas.

Mengelola risiko efektif dalam lingkungan yang tidak pasti membutuhkan kemampuan baru dan pemikiran ulang tentang cara kerja manajemen risiko. Setiap lembaga perlu mengambil pendekatan yang sesuai dengan karakteristik unik mereka.

Dalam lingkungan penuh ketidakpastian ini, manajemen risiko mengalami perubahan. Pertanyaannya sekarang adalah, apakah lembaga keuangan akan tetap pada pendekatan tradisional atau memikirkan kembali cara fundamental risiko dikelola?

Setiap institusi perlu memutuskan apakah akan mengikuti bisnis seperti biasa atau mengambil kesempatan untuk membawa manajemen risiko ke tingkat baru yang benar-benar mendukung rencana strategis organisasi.

Laporan Deloitte Global menyoroti enam aspek kunci agar institusi dapat beradaptasi dengan perubahan. Pertama, tingkatkan fokus pada risiko strategis seperti geopolitik, FinTech, dan pesaing non-tradisional. Kedua, perbarui tiga lini pertahanan dengan memberikan lebih banyak tanggung jawab kepada unit bisnis dan jelaskan peran pertahanan lini kedua. Ketiga, manfaatkan teknologi baru untuk meningkatkan efisiensi manajemen risiko. Keempat, tetapkan program perilaku dan budaya formal untuk membangun kepercayaan pelanggan. Kelima, tingkatkan kemampuan manajemen risiko untuk mengatasi risiko non-keuangan baru dan tantangan regulasi. Keenam, kelola modal dan likuiditas secara strategis dengan memperkuat struktur tata kelola dan meningkatkan proses pengambilan keputusan.

Artikel ini telah diterbitkan oleh Deloitte, dengan judul The Future of Risk in Financial Services. Artikel selengkapnya dapat dibaca di sini.

Dalam dunia teknologi informasi modern, keamanan data menjadi hal yang sangat penting. Organisasi harus waspada terhadap potensi ancaman dari para peretas yang dapat merusak jaringan dan sistem mereka. Baru-baru ini, Cybersecurity and Infrastructure Security Agency (CISA) merilis laporan tentang evaluasi risiko dan kerentanan yang memberikan wawasan berharga tentang taktik dan teknik yang digunakan oleh para peretas dalam simulasi serangan. Salah satu teknik yang paling umum adalah “pass the hash“.

“Pass the hash” adalah metode di mana peretas memanfaatkan informasi terenkripsi (hash) dari kata sandi pengguna untuk mendapatkan akses ke sistem atau jaringan. Ini adalah teknik yang telah digunakan dalam serangan ransomware dan ancaman persisten terhadap infrastruktur kritis. Meskipun upaya telah dilakukan untuk mengatasi serangan semacam ini, “pass the hash” tetap efektif karena beberapa sistem masih rentan terhadap teknik ini.

Untuk melawan teknik “pass the hash“, organisasi perlu memahami cara kerja para penyerang. Booz Allen telah mengembangkan alat analisis SnapAttackTM untuk mempelajari lebih dari 1.000 teknik serangan, termasuk “pass the hash“. Memahami bagaimana teknik ini digunakan memberikan keunggulan dalam membangun pertahanan siber yang kuat.

Terdapat beberapa strategi mitigasi untuk melawan “pass the hash“, mulai dari menonaktifkan akun administrator bawaan hingga memastikan bahwa akun administrator memiliki kata sandi unik di semua sistem. Namun, penting untuk diingat bahwa tidak ada solusi satu ukuran untuk semua. Organisasi perlu memahami risiko khusus mereka dan menerapkan strategi yang sesuai.

Dengan pemahaman yang lebih baik tentang perilaku ancaman, pertahanan siber dapat diperkuat. Namun, yang terpenting, organisasi harus memprioritaskan sumber daya mereka untuk mengatasi ancaman siber. Membangun pemahaman yang kuat tentang perilaku ancaman dapat membantu organisasi mengurangi risiko secara efektif dan berfokus pada tindakan pencegahan yang paling diperlukan.

Artikel ini telah diterbitkan oleh Booz Allen, dengan judul Takeaways from CISA Risk and Vulnerability Assessments. Artikel selengkapnya dapat dibaca di sini.

Ketika Anda bersiap untuk wawancara posisi manajemen risiko yang menarik, Anda mungkin sudah melakukan penelitian tentang bisnis perusahaan dan tantangan yang sedang dihadapinya. Anda siap menjelaskan kepada HRD atau manajer perekrutan tentang bagaimana latar belakang Anda membuat Anda cocok untuk pekerjaan tersebut. Tapi bagaimana jika Chief Risk Officer (CRO) perusahaan juga terlibat dalam proses wawancara?

CRO, yang kini dianggap sebagai kandidat masa depan untuk menjadi CEO, sering memiliki perspektif yang berbeda dibandingkan dengan manajer risiko lainnya. Mereka berpikir tentang risiko pada tingkat perusahaan dan melakukan langkah-langkah untuk memastikan bahwa manajemen risiko dilihat sebagai mitra yang membantu bisnis mencapai tujuannya, bukan sebagai rival yang berusaha membatasi bisnis inti perusahaan demi meminimalkan risiko.

Dalam Pikiran Seorang CRO

Clifford Rossi adalah seorang Profesor Praktik dan Eksekutif di Sekolah Bisnis Robert H. Smith, Universitas Maryland, di mana dia mengajar kursus manajemen risiko. Sebelumnya, dia pernah menjadi CRO di Consumer Lending Group Citigroup, Rossi tahu apa yang dicari CRO dalam perekrutan.

Dalam posisi untuk level pemula, Rossi percaya seorang CRO yang baik tidak mengelola setiap detail proses, melainkan memberikan panduan kepada bawahan dan mempercayai mereka untuk membuat keputusan perekrutan yang baik. Ketika dia menduduki posisi manajemen risiko teratas, dia mengatakan stafnya kadang-kadang memintanya untuk membantu mengevaluasi kandidat muda untuk menilai kemampuan komunikasi atau pemecahan masalah mereka. “Saat merekrut manajer risiko pemula, saya kadang-kadang melakukan wawancara selama 30 menit dengan kandidat yang menjanjikan dan mencoba meyakinkan mereka untuk bekerja bersama kami,” kata Rossi.

Pertanyaan yang lebih mendalam biasanya diajukan untuk peran-peran yang lebih senior. Untuk pekerjaan manajemen risiko tingkat senior, Rossi mengatakan penting bagi seorang CRO untuk membedakan antara seorang kontributor independen yang berperan dalam manajemen SDM dengan seseorang yang memiliki visi lebih luas yang dapat meningkatkan kemampuan staf manajemen risiko dengan cara yang menguntungkan seluruh perusahaan. Dengan mengajukan pertanyaan tentang apa yang dilakukan seorang kandidat di pekerjaan sebelumnya, katanya, seorang CRO bisa memahami lebih baik kemampuan kepemimpinan mereka. CRO juga bisa mengetahui apakah kandidat cocok dengan kebutuhan khusus perusahaan.

Keterampilan yang Disukai oleh CRO

Jika Anda bertemu dengan seorang CRO selama proses wawancara, bagaimana Anda bisa memberikan kesan yang baik dan tampil beda dari yang lain? Sementara latar belakang teknis mungkin cukup untuk mendapatkan wawancara di posisi junior (di mana banyak pembelajaran dilakukan saat bekerja), kualitas non-teknis seringkali menjadi kunci sukses karir dalam manajemen risiko.

“Saya ingin melihat komunikator yang baik yang bisa mengambil pekerjaan teknis mereka dan menerjemahkannya untuk para pemimpin bisnis senior. Dan saya sangat suka melihat keterampilan kerja sama,” kata Rossi, sambil menambahkan bahwa dia tidak punya waktu untuk berurusan dengan orang-orang brilian yang tidak dapat bekerjasama dengan rekan-rekan kerja.

Kemampuan untuk memenuhi tenggat waktu dan rasa ingin tahu tentang manajemen risiko juga merupakan aspek penting. “Saya ingin memiliki detektif lama di TV, Columbo, yang bekerja untuk saya,” Rossi bercanda. “Tidak ada yang lebih baik daripada seorang manajer risiko yang terus mengupas lapisan bawang dan bertanya, ‘apa yang terjadi di sini?'”

Ketika mewawancarai kandidat untuk posisi yang lebih senior, Rossi kurang peduli dengan kepakaran dan lebih tertarik pada keterampilan lembut seperti komunikasi dan negosiasi. Dia menganggap kemampuan memengaruhi dan membentuk percakapan menjadi keterampilan kritis. “Seringkali Anda menghadapi ketegangan alami antara bisnis atau keuangan dan departemen risiko. Saya ingin orang-orang yang memiliki keberanian pada keyakinan mereka,” tegas Rossi.

“Manajer risiko yang baik harus berdiri tegak dan tidak tunduk pada tekanan. Jalur resistensi terendah adalah mengikuti, tetapi Anda harus memahami bahwa pekerjaan ini tidak selalu mudah.” katanya.

Keterampilan teknis selalu menjadi tuntutan penting bagi para kandidat pekerjaan dan para profesional risiko yang ingin naik jabatan, tetapi kemampuan untuk memecahkan masalah, rasa ingin tahu, kemampuan komunikasi yang kuat, dan kemampuan bernegosiasi juga sangat dihargai.

Artikel ini telah diterbitkan oleh Garp pada 10 Februari 2023, dengan judul What Do CROs Look for in a Risk Manager? Artikel selengkapnya dapat dibaca di sini.

Tantangan global yang berkaitan dengan sumber daya menjadi semakin kompleks bagi berbagai industri. Faktor-faktor seperti lonjakan harga, gangguan rantai pasokan akibat krisis sanitasi dan geopolitik, serta dampak negatif terhadap sosial dan lingkungan telah menghadirkan risiko yang signifikan. Di sisi lain, regulasi yang semakin ketat dalam pengelolaan sumber daya memberikan sanksi kepada pelaku yang gagal mematuhi aturan, sementara memberikan penghargaan kepada yang menerapkan tindakan proaktif yang mengurangi penggunaan sumber daya.

Model Value Hill

Dalam konteks ekonomi linier, nilai sebuah produk mencapai puncaknya ketika produk tersebut mencapai tangan konsumen. Namun, setiap kali produk dibuang beserta seluruh sumber daya yang digunakan untuk menciptakannya, nilai tersebut dihancurkan. Sumber daya yang digunakan untuk menciptakan produk tersebut, seperti material dan energi, pada akhirnya menjadi limbah. 

Di dalam model ekonomi sirkular, sumber daya dari produk tidak dihancurkan begitu saja, melainkan dimanfaatkan kembali secara bertahap melalui proses daur ulang. Setiap tahap dalam proses ini merupakan peluang untuk mempertahankan nilai dan mengembalikan bahan ke dalam lingkaran produksi.

Perusahaan swasta harus mengembangkan visi bisnis dengan kesadaran sumber daya dan merumuskan rencana ekonomi sirkular yang konkret. Hal ini penting untuk memastikan kelangsungan rencana bisnis mereka, menciptakan ketahanan, dan menjelajahi peluang baru yang mencakup seluruh rantai pasokan, pemangku kepentingan, dan klien mereka.

Selain manfaat yang signifikan, seperti pengurangan dampak lingkungan dan sosial, strategi yang mempertimbangkan sumber daya dan bisnis sirkular juga menimbulkan tantangan. Salah satu tantangannya adalah kurangnya pandangan holistik dan kurangnya metrik tunggal dalam menerapkan ekonomi sirkular. Berikut dua alat inovatif yang akan membantu dalam mengatasi tantangan ini.

Matriks 16 CBS untuk Strategi Perusahaan yang Holistik

Dalam mengembangkan strategi global untuk ekonomi sirkular, perusahaan sering menghadapi kendala, karena banyak inisiatif sirkular saat ini tersebar dalam berbagai inisiatif lokal yang beragam. Strategi yang terfragmentasi ini bisa menjadi hambatan. 

Oleh karena itu, Capgemini mengembangkan 16 Segmen Bisnis Sirkular (Circularity Business Segments/CBS) yang dapat membantu pelaku industri dalam merancang strategi yang lebih terintegrasi. Setiap segmen ini memiliki kasus bisnis tersendiri yang dapat memberikan manfaat signifikan bagi perusahaan dan wilayah.

Metrik tunggal untuk sumber daya

Saat ini, belum ada indikator tunggal yang mencakup keragaman sumber daya dan tantangan yang berkaitan. Untuk menerapkan strategi dengan kesadaran sumber daya, dibutuhkan ukuran kekritisan yang dapat digunakan sebagai indikator utama kinerja bisnis atau jejak karbon. 

Capgemini menciptakan Faktor Kekritisan Sumber Daya (Resource Criticality Factors/RCF). RCF ini didasarkan pada volume, harga, dan dampak, dan dapat digunakan sebagai faktor harga dan emisi karbon. Alat-alat ini terintegrasi dalam pendekatan yang disebut RACES: Resources Awareness And Circular Economy Strategy/Kesadaran Sumber Daya dan Strategi Ekonomi Sirkular. Dengan RACES dan alat-alatnya, perusahaan dapat mengembangkan strategi sumber daya dan ekonomi sirkular yang kuat.

Pendekatan RACES (Kesadaran Sumber Daya & Strategi Ekonomi Sirkular) terdiri dari empat langkah, yang mencakup visi hingga implementasi. 

Dalam langkah pertama, Kesadaran Sumber Daya/Resource Awareness (RA), perusahaan mengevaluasi visi mereka terkait dengan sumber daya dan mengidentifikasi faktor-faktor yang paling berpengaruh terhadap risiko sumber daya. 

Strategi Ekonomi Sirkular (Circular Economy Strategy/CES) adalah langkah kedua, yang bertujuan untuk mengintegrasikan pendekatan bisnis tradisional dengan pertimbangan sumber daya. Untuk melihat potensi peluang bisnis sirkular yang relevan, digunakan matriks strategis 16  Segmen Bisnis Sirkular (CBS). 

Langkah ketiga, Quantification Flow, membantu mengukur dan menganalisis peluang bisnis serta implikasinya dalam hal volume, biaya, dan kekritisan sumber daya. 

Langkah terakhir adalah implementasi dan transformasi nyata, di mana strategi yang kuat dijalankan dengan inisiatif percontohan dan penskalaan jangka panjang.

Ketika menghadapi tantangan sumber daya, perusahaan perlu mengadopsi pendekatan yang lebih holistik dan mempertimbangkan strategi sirkular. Langkah-langkah kesadaran sumber daya, strategi ekonomi sirkular, kuantifikasi aliran, dan implementasi yang kuat merupakan landasan untuk mengurangi risiko sumber daya dalam skala yang lebih besar.

Artikel ini telah diterbitkan oleh Capgemini, dengan judul RACES: Resources Awareness And Circular Economy Strategy. Artikel selengkapnya dapat dibaca di sini.