Artikel

RPA (Robotic Process Automation) atau Otomatisasi Proses Robotik pertama kali digunakan untuk menjalankan tugas-tugas berbasis aturan sekitar dua puluh tahun yang lalu. Sejak itu, RPA telah berfungsi sebagai tenaga kerja virtual bagi bisnis. Sebuah perusahaan bisa mendapatkan manfaat dari kemampuan RPA untuk mengumpulkan data, menjalankan proses dengan cepat dan akurat, serta memfasilitasi peningkatan kualitas – sembari meningkatkan kepuasan pelanggan.

Selain memberikan peluang di berbagai bidang proses dan industri, penggunaan teknologi RPA juga menimbulkan beberapa risiko potensial. Saat memaksimalkan manfaat RPA, perusahaan harus menilai tingkat risiko yang dapat diterima dan toleransi risiko.

Perusahaan telah merangkul RPA. Dengan beroperasi secara konstan dan konsisten, RPA meningkatkan produktivitas dan mengurangi biaya. Ini menawarkan manfaat yang dapat diukur dalam pengumpulan data, kepatuhan regulasi, audit, kepuasan pelanggan, mitigasi risiko, dan jaminan kualitas.

Platform RPA telah menjadi sangat kuat, terutama ketika dipasangkan dengan bentuk kecerdasan buatan lainnya seperti machine learning, pemrosesan bahasa alami, dan komputasi visual. Apalagi, alat pengembangan RPA yang berfungsi sepenuhnya kini tersedia langsung kepada pengguna akhir. Berbagai aplikasi perusahaan (bahkan perangkat lunak produktivitas kantor) memungkinkan pengguna akhir untuk memprogram bot untuk tugas-tugas rutin.

Namun, ketika individu mengotomatiskan tugas-tugas mereka sendiri, kegiatan ini sering kali dilakukan di luar standar kode dan pengawasan arsitektur perusahaan. Bot yang diprogram oleh pengguna akhir dapat berakhir dengan tingkat keamanan yang kurang baik, yang dapat mengizinkan pergerakan data tanpa enkripsi dan berpotensi mengakibatkan kebocoran data.

Bot yang dirancang dengan buruk dapat mengungkapkan informasi keuangan, rencana pemasaran, proyek-proyek mendatang, dan data yang sangat penting lainnya kepada pengguna yang tidak berwenang. Lalu, ada banyak otomatisasi RPA terbaru beroperasi di cloud, yang dapat menempatkan data sensitif di luar lingkup lingkungan komputasi perusahaan.

Salah satu contoh risiko yang ditimbulkan oleh teknologi RPA melibatkan penggunaan otomatisasi desktop yang diawasi, di mana bot mengklik tombol dan menjalankan tugas dengan cara yang sama seperti pengguna akhir. Misalnya, pengguna mungkin memiliki izin untuk mengirim email ke eksternal atau bahkan mengakses rekening bank korporat. Bayangkan apa yang terjadi ketika sebuah bot melakukan tindakan-tindakan tersebut secara berulang dengan pengawasan atau kontrol yang terbatas.

Bot dapat mengakses informasi berisiko tinggi demi fleksibilitas, seperti data sumber daya manusia dan keuangan atau strategi kompetitif. Mereka juga dapat mengaktifkan proses yang rentan terhadap kecurangan, seperti akun yang harus dibayar dan penggajian, atau memulai interaksi dengan pihak eksternal di mana berlaku kewajiban kontraktual dan regulasi.

Dalam meningkatnya penggunaan dan nilai, bot dapat menjadi target potensial bagi serangan siber. Pertimbangkan hal berikut:

• Bot yang mengakses sistem perusahaan dikodekan dengan kredensial untuk melaksanakan tugas-tugas. Kode ini membuat mereka rentan terhadap peretas yang mencari ID pengguna dan kata sandi, meretas sistem, dan mencuri atau menyalahgunakan informasi bisnis sensitif.
• Bot dapat dilatih ulang oleh pelaku kejahatan untuk mengganggu operasi bisnis yang signifikan terkait dengan klien, pesanan, atau transaksi.
• Jika pelaku kejahatan mengetahui bahwa kotak surat email penting dipantau dan diproses oleh bot, ini bisa mengakibatkan kerentanan yang akan dieksploitasi.

Para pemimpin bisnis dapat melibatkan keamanan siber dalam pengambilan keputusan RPA untuk mengurangi risiko. Kerangka kerja untuk keamanan RPA menilai praktik-praktik untuk membangun dan memperoleh bot serta melacak bot dalam operasi. Tujuannya adalah:

• Membantu pengguna memahami dan mengenali otomatisasi yang diatur oleh kerangka kerja RPA.
• Mengamankan platform RPA dan fitur-fitur RPA dalam aplikasi perusahaan.
• Melakukan pendekatan berbasis risiko dalam manajemen bot, manajemen akses bot, dan pemantauan bot.
• Menegakkan prinsip-prinsip desain yang mengurangi risiko RPA, seperti menjaga manusia di dalamnya dan memisahkan tugas.
• Memastikan bahwa bot dikelola sepanjang siklus kerja.
• Mengamankan proses pengembangan RPA, memisahkan antara pengembangan bot dengan penempatan bot, mengelola izin yang diberikan kepada individu yang membangun dan menempatkan bot.
• Memantau bot dalam operasi; mengulas bot untuk keterkaitan dengan perubahan kebijakan dan kepatuhan terhadap standar serta tujuan yang ditentukan.
• Mengelola identitas, akses, dan hak bot.
• Memelihara inventaris bot untuk audit berkala.
• Memantau data yang diproses oleh bot, memindai bot untuk kerentanannya, dan simulasi model ancaman untuk mengungkap kelemahan dan kesenjangan sistem.

Tim IT dan keamanan siber dapat memberikan masukan tentang keputusan desain bot dan memberikan rekomendasi untuk mengurangi risiko – misalnya:

• Memastikan bahwa setiap bot dikelola melalui identitas yang unik dan profil risiko. Misalnya, apakah bot mengirim email, melakukan pembayaran, atau berinteraksi dengan sistem eksternal? Karakteristik-karakteristik ini berkontribusi pada profil risiko.
• Memastikan bahwa kredensial adalah unik per bot (terutama untuk melacak ketika terhubung dengan sistem eksternal).
• Menggunakan metode dan kontrol otentikasi dan otorisasi yang sesuai; mengendalikan akses bot melalui sistem otorisasi dan akses perusahaan yang sentral.
• Memastikan pemeriksaan kontrol dibangun ke dalam logika bot.
• Meresertifikasi bot secara periodik, termasuk meninjau fungsi, kepemilikan, dan pemeliharaan.
• Memantau data yang diproses oleh setiap bot.
• Memindai bot secara berkala untuk kerentanannya.

Kemampuan RPA akan terus berkembang, menciptakan peluang baru bagi bisnis untuk meningkatkan produktivitas, mengurangi kesalahan, dan mengurangi biaya – serta manfaat lain yang saat ini belum dapat kita prediksi. Untuk mencapai sinergi signifikan yang ditawarkan oleh otomatisasi, perusahaan harus menjadikan RPA sebagai bagian dari strategi teknologi, meningkatkannya ke tingkat pengaturan proses IT dan bisnis lainnya. Melibatkan mitra teknologi untuk menerapkan praktik keamanan pada RPA. Demikian adalah taktik yang efektif untuk meraih manfaat RPA tanpa menimbulkan risiko yang tidak perlu.

Artikel ini telah diterbitkan oleh Protiviti, dengan judul Balancing Opportunity and Risk: Security for RPA Platforms. Artikel selengkapnya dapat dibaca di sini.

Banyak eksekutif perusahaan yang kurang memberikan perhatian terhadap manajemen risiko politik. Hal ini sebenarnya memberikan peluang bagi perusahaan untuk unggul dari pesaing-pesaingnya. Terutama dalam era perubahan teknologi yang cepat, manajemen risiko politik bisa menjadi salah satu kunci strategis.

Manajemen risiko politik tidak selalu mendapatkan perhatian yang seharusnya. Namun, fakta ini memberikan peluang strategis bagi perusahaan yang berani mengambil langkah proaktif dalam mengelola risiko politik. Saat ini, dampak risiko politik bisa sangat besar, memengaruhi langkah-langkah strategis perusahaan seperti akuisisi, strategi masuk pasar, dan ekspansi internasional.

Hasil survei terbaru EY Global Capital Confidence Barometer menunjukkan bahwa lebih dari tiga perempat eksekutif perusahaan menyatakan bahwa tantangan geopolitik memaksa perusahaan mereka untuk mengubah investasi strategis. Bahkan, hampir dua pertiga di antaranya mengatakan bahwa mereka menunda investasi yang telah direncanakan sampai mendapatkan klarifikasi lebih lanjut tentang risiko geopolitik. Sikap “menunggu dan melihat” ini memberikan kesempatan strategis bagi perusahaan yang secara proaktif mengelola risiko politik. Mereka akan dapat bergerak lebih cepat dan lebih tangguh dibandingkan pesaing-pesaingnya.

Selain tantangan geopolitik, kebijakan di tingkat negara juga dapat berdampak besar pada strategi dan transaksi perusahaan di tahun-tahun mendatang. Misalnya, krisis COVID-19 mendorong banyak pemerintah untuk meningkatkan kemandirian dalam sektor-sektor strategis, yang mengarah pada inisiatif kebijakan untuk merelokasi produksi atau mendiversifikasi rantai pasokan.

Eksekutif global mengakui potensi dampak dari kebijakan industri semacam itu, dengan 71% dari mereka mengharapkan implikasi terhadap jejak internasional perusahaan mereka dan 69% mengharapkan dampak pada strategi masuk pasar. Sekitar dua pertiga dari mereka menunjuk pada pengaruh kebijakan industri dalam pengambilan keputusan akuisisi, baik di tingkat lintas batas maupun domestik.

Risiko politik memengaruhi semua risiko eksternal utama yang dihadapi perusahaan dalam survei EY Capital Confidence Barometer. Seiring dengan geopolitik COVID-19 yang menciptakan risiko politik di pasar di seluruh dunia, kebijakan stimulus pemerintah akan berdampak pada kinerja ekonomi. Selain itu, agenda kebijakan iklim yang semakin dihidupkan kembali akan membentuk lingkungan bisnis global di tahun 2021 dan seterusnya.

Teknologi juga menjadi pusat persaingan geopolitik — tren yang dipercepat oleh COVID-19 karena lebih banyak aspek pekerjaan dan kehidupan berpindah ke dunia online. Terakhir, politik kekuatan besar — terutama antara Amerika Serikat, Uni Eropa, dan Tiongkok — akan mendorong lebih banyak regionalisasi ekonomi global dan ketegangan geopolitik antara pasar besar ini.

Tingkat risiko politik yang tinggi ini memang bisa memberikan tantangan bagi perusahaan, tetapi juga membuka peluang besar. Saat ini, hanya sebagian kecil eksekutif (14%) yang menganggap manajemen potensi dampak dari perubahan risiko geopolitik dan regulasi sebagai pertimbangan strategis utama. Sementara banyak yang mengabaikan isu-isu ini. Perusahaan yang berani mengambil langkah proaktif dalam manajemen risiko geopolitik akan mendapatkan keunggulan kompetitif yang signifikan.

Dalam EY Global Capital Confidence Barometer terbaru, eksekutif global menyadari bahwa risiko geopolitik memengaruhi investasi strategis mereka. Namun, hanya sebagian kecil dari eksekutif perusahaan yang menganggap manajemen risiko politik sebagai prioritas strategis. Ini menciptakan peluang kompetitif bagi perusahaan yang mengadopsi strategi yang berani.

Sebagai bagian dari upaya meningkatkan respons perusahaan terhadap risiko baru, sekitar setengah eksekutif perusahaan mengatakan bahwa mereka telah tampil sama dengan pesaing mereka dalam mengidentifikasi, mengevaluasi, dan merespons risiko-risiko baru secara langsung selama pandemi COVID-19.

Namun, hanya sekitar sepertiga dari mereka yang percaya bahwa perusahaan mereka telah tampil lebih baik dalam hal ini. Meskipun demikian, kurang dari separuh eksekutif berencana untuk meningkatkan investasi di bidang ini. Terlihat bahwa manajemen risiko lebih tentang bertahan daripada berkembang.

Dari 45% perusahaan yang berencana berinvestasi dalam mengidentifikasi, mengevaluasi, dan merespons risiko-risiko baru, mereka memiliki peluang yang jelas untuk mengungguli pesaing-pesaing mereka dalam beberapa tahun mendatang. Salah satu langkah penting yang harus mereka ambil adalah berinvestasi dalam meningkatkan manajemen risiko politik. Hal ini memerlukan pemantauan aktif terhadap lingkungan risiko politik, menilai dampak dari potensi risiko politik di seluruh fungsi perusahaan, dan mengelola risiko politik sebagai bagian dari proses manajemen risiko perusahaan secara umum.

Artikel ini telah diterbitkan oleh EY, dengan judul Why geopolitical risk management is a strategic opportunity. Artikel selengkapnya dapat dibaca di sini.

Proyeksi pertumbuhan ekonomi global diperkirakan akan melambat secara signifikan tahun ini, mencapai tingkat terlemah ketiga dalam hampir tiga dekade terakhir, hanya diungguli oleh resesi global tahun 2009 dan 2020.

Pertumbuhan investasi di negara-negara pasar berkembang dan negara-negara sedang berkembang (Emerging Market and Developing Economies/EMDE) diperkirakan akan tetap berada di bawah tingkat rata-rata dua dekade terakhir. Goncangan negatif tambahan dapat mendorong ekonomi global ke dalam resesi lainnya. Negara-negara kecil sangat rentan terhadap goncangan tersebut karena ketergantungan mereka pada perdagangan dan pembiayaan eksternal, diversifikasi ekonomi yang terbatas, tingginya utang, dan kerentanannya terhadap bencana alam.

Tindakan global diperlukan untuk mengurangi risiko resesi global dan kesulitan utang di negara-negara berkembang. Mengingat keterbatasan ruang kebijakan, penting bagi pembuat kebijakan nasional untuk memastikan bahwa dukungan fiskal difokuskan pada kelompok rentan, ekspektasi inflasi tetap terkendali, dan sistem keuangan tetap kuat. Kebijakan juga diperlukan untuk mendukung peningkatan investasi di negara-negara berkembang.

Prospek Ekonomi Global diperkirakan akan mencapai tingkat pertumbuhan terlemah ketiga dalam hampir tiga dekade. Sementara Prospek Regional, proyeksi pertumbuhan untuk tahun 2023 dan 2024 telah direvisi turun untuk setiap wilayah negara-negara berkembang.

Pertumbuhan investasi di negara-negara berkembang diperkirakan akan tetap di bawah tingkat rata-rata dua dekade terakhir dalam jangka menengah. Pemandangan yang suram ini mengikuti perlambatan pertumbuhan investasi yang merata secara geografis dalam dekade sebelum pandemi COVID-19. Meningkatkan pertumbuhan investasi akan memerlukan kerjasama internasional yang lebih besar serta pembiayaan dan bantuan untuk memungkinkan investasi yang memadai.

Artikel ini telah diterbitkan oleh Open Knowledge Repository, dengan judul Global Economic Prospects, January 2023. Artikel selengkapnya dapat dibaca di sini.

Dalam merger dan akuisisi (M&A), pencapaian nilai biasanya menjadi perhatian utama. Namun, risiko siber adalah kenyataan yang harus dihadapi. Mengingat regulasi privasi data dan undang-undang wajib mengungkapkan pelanggaran keamanan siber, paparan risiko siber berpotensi memengaruhi valuasi pasca-merger secara signifikan. Saat menghitung nilai akuisisi potensial, perusahaan penerima harus mempertimbangkan biaya risiko siber sebagai bagian dari strategi kesepakatan.

Pada tahun 2016, sebuah penyedia layanan telekomunikasi berbasis di Inggris didenda secara besar-besaran ketika database pelanggan yang mereka akuisisi sebelumnya diretas. Pada tahun 2017, harga akuisisi Verizon terhadap bisnis internet Yahoo turun sebesar USD 350 juta setelah Yahoo mengungkapkan tiga pelanggaran data masif yang mengorbankan lebih dari 1 miliar akun pelanggan.

Pelaku ancaman mengincar aktivitas M&A karena menawarkan potensi imbalan jangka pendek dan jangka panjang. Dalam operasi transisi, data bernilai tinggi seringkali rentan. Ketika perusahaan yang tercatat di bursa saham terlibat, liputan media yang dihasilkan dapat memperburuk risiko. Di saat yang sama, pelaku ancaman mengambil kesempatan untuk menyerang.

Pengawasan keamanan siber selama aktivitas M&A sangat penting. Namun, ada beberapa alasan mengapa perusahaan menunda atau mengabaikan keterlibatan ahli keamanan selama M&A. Dalam beberapa kasus, ini terkait dengan kurangnya pengalaman dalam siklus M&A yang kompleks. Dalam kasus lain, ada keinginan untuk membatasi jumlah orang yang mengetahui tentang merger yang akan datang.

Solusinya tidaklah sederhana, tetapi perusahaan memiliki opsi. Berikut langkah-langkah proaktif yang dapat diambil tim keamanan untuk mengurangi risiko keamanan siber sepanjang siklus M&A:

Langkah Pra-Akuisisi

1. Melibatkan Ahli Keamanan Siber: Pastikan ahli keamanan siber merupakan anggota kunci dalam tim M&A, bahkan sejak tahap perencanaan strategis.
2. Pemahaman Tujuan Bisnis: Pahami akuisisi dalam konteks tujuan bisnis dan objektif merek perusahaan, serta bagaimana keamanan akan mendukung tujuan tersebut.
3. Evaluasi Ketahanan Keamanan: Tinjau dan nilai ketahanan keamanan dari target akuisisi. Temukan informasi tentang serangan sebelumnya, insiden, dan publikasi terkait keamanan.
4. Perencanaan Peraturan dan Kepatuhan: Identifikasi persyaratan peraturan dan kepatuhan yang berlaku dan bagaimana akuisisi akan memengaruhi model teknologi dan keamanan perusahaan.

Langkah Akuisisi

1. Pemeriksaan Keamanan Terperinci: Selama tahap pemeriksaan, lakukan pemeriksaan keamanan yang mendalam terhadap sistem informasi, kebijakan, dan kerentanannya dari target akuisisi.
2. Penerjemahan Temuan ke Dalam Nilai: Terjemahkan temuan keamanan siber menjadi nilai-nilai kuantitatif yang dapat digunakan dalam negosiasi dan penentuan harga akuisisi.
3. Monitor Media: Pantau liputan media untuk mengukur minat publik dan ancaman potensial terhadap keamanan siber selama proses akuisisi.
4. Evaluasi Biaya Akuisisi: Selain biaya dasar akuisisi, pertimbangkan biaya terkait manajemen risiko siber seperti keamanan layanan dasar dan yang lebih kompleks.
5. Keterlibatan Pihak Ketiga: Pertimbangkan untuk melibatkan pihak ketiga yang ahli dalam manajemen risiko merek dan keamanan siber.

Langkah Integrasi Pasca-Akuisisi

1. Pembaruan Model Keamanan: Perbarui model keamanan yang telah ditetapkan selama proses pemeriksaan dengan temuan baru dari kegiatan penilaian.
2. Monitoring Keamanan Tingkat Tinggi: Pertahankan tingkat pemantauan keamanan yang tinggi di kedua perusahaan selama fase integrasi, karena paparan media dapat meningkatkan ancaman.
3. Pertahankan Kontrol: Pertahankan kontrol keamanan yang ketat karena sering kali ada kecenderungan untuk meremehkan protokol keamanan saat jaringan digabungkan.
4. Antisipasi Dampak pada Tenaga Kerja: Antisipasi dampak akuisisi pada tenaga kerja, termasuk karyawan dan mitra yang mungkin terpengaruh oleh kesepakatan.
5. Mengoptimalkan Resiliensi Keamanan: Manfaatkan proses M&A untuk meningkatkan resiliensi keamanan dan efisiensi operasional dengan menyederhanakan operasi keamanan.

Langkah-langkah ini membantu perusahaan untuk mengelola risiko siber yang mungkin muncul selama proses akuisisi dan merger, serta memastikan bahwa keamanan tetap menjadi prioritas selama transisi.

Artikel ini telah diterbitkan oleh IBM Institute for Business Value, dengan judul Assessing cyber risk in M&A. Artikel selengkapnya dapat dibaca di sini.

Selain dampak perubahan iklim dan tantangan geopolitik dan geoekonomi yang semakin meningkat, percepatan laju perkembangan teknologi telah menjadi salah satu faktor utama yang membentuk lingkungan bisnis dalam beberapa tahun terakhir.

Agenda Forum Ekonomi Dunia (World Economic Forum) tahun ini di Davos mengakui hal ini dengan mengusung tema “Mengatasi Tantangan Utama Industri Saat Ini dalam Konteks Sistem Baru untuk Memanfaatkan Teknologi Terdepan untuk Inovasi dan Ketahanan Sektor Swasta”.

Perkembangan teknologi dalam setahun terakhir memang menggembirakan, tetapi juga menimbulkan kekhawatiran. Meskipun kecerdasan buatan dan otomatisasi telah mengganggu berbagai industri selama bertahun-tahun, laju perubahan meningkat pada tahun 2022 dengan dirilisnya ChatGPT oleh OpenAI ke publik. Sebagai contoh kecerdasan buatan generatif, bersama dengan penghasil gambar seperti Dall-E, chatbot ini mengesankan semua orang.

Belum jelas jenis tugas apa yang dapat diambil alih oleh alat-alat seperti ini dari manusia – baik sebagian maupun seluruhnya – atau bagaimana tepatnya mereka akan memengaruhi keterampilan yang dibutuhkan oleh orang-orang yang pekerjaannya melibatkan kata-kata atau gambar. Namun yang jelas, terobosan lebih lanjut dalam kecerdasan buatan generatif akan memiliki dampak besar pada evolusi bentuk tenaga kerja modern, dan perusahaan-perusahaan perlu seimbangkan risiko dan manfaatnya.

Kemajuan teknologi pada tahun lalu sudah menunjukkan potensi besar dalam membantu mengurangi perubahan iklim. Kemajuan teknologi juga memungkinkan perusahaan untuk memenuhi komitmen lingkungan. Sementara krisis energi pada tahun 2022 menyebabkan penggunaan bahan bakar fosil lebih banyak dalam jangka pendek. Hal ini memberikan dorongan baru dalam pengembangan energi terbarukan.

Tahun lalu terdapat sejumlah terobosan yang menjanjikan. Sebutlah metode baru untuk mengubah air menjadi hidrogen dan memproduksi hidrogen terbarukan dalam skala besar. Selanjutnya, ada kemajuan dalam efisiensi panel surya dan momen penelitian yang berpotensi signifikan dalam energi fusi.

Dalam konteks global yang penuh tantangan, terobosan-terobosan ini memberikan dasar optimisme. Selain itu, muncul momentum untuk membentuk jenis kolaborasi yang dibutuhkan dalam upaya mendorong transisi hijau ke depan.

Pada bulan November 2022, Forum Ekonomi Dunia berjanji menyumbangkan USD 12 miliar untuk mendukung teknologi hijau. Gerakan ini bertujuan untuk menggunakan komitmen permintaan untuk merangsang pengembangan teknologi baru, dan mempercepat laju skalanya. Fokusnya adalah pada industri berat – seperti baja, aluminium, dan semen – dan transportasi jarak jauh, sektor-sektor yang bersama-sama bertanggung jawab atas 30% emisi global.

Teknologi baru menciptakan risiko baru serta peluang baru. Contohnya, tahun 2022 menyaksikan peningkatan tajam serangan siber oleh negara-negara terhadap infrastruktur penting negara lain. Biaya tahunan dari kejahatan siber juga terus tumbuh, dan diproyeksikan akan mencapai lebih dari USD 10,5 triliun pada tahun 2025.

Laporan Risiko Global yang baru diterbitkan menilai risiko siber tinggi baik jangka pendek maupun jangka panjang. Perusahaan harus mencoba untuk memanfaatkan potensi inovasi sambil melindungi kekayaan intelektual dan data mereka, dan juga berkolaborasi dengan kolega, perusahaan asuransi, dan pemerintah untuk menjaga keamanan sistem secara keseluruhan. Kesadaran tentang keamanan siber perlu menjadi bagian integral dari ketahanan.

Artikel ini telah diterbitkan oleh Marsh, dengan judul The risks and Rewards of Frontier Technologies. Artikel selengkapnya dapat dibaca di sini.

Serangan siber yang sukses pada rantai pasokan merupakan ancaman serius yang dapat merusak bisnis yang telah mapan. Dewan direksi memiliki peran penting dalam membantu manajemen menghadapi tantangan ini. Meskipun pertanyaannya sama, jawabannya akan berbeda untuk perusahaan publik, swasta, atau berbagai ukuran bisnis. Berikut tiga aspek kunci yang perlu diperhatikan oleh dewan direksi.

Aspek Pertama: Perlindungan, Pembebasan Tanggung Jawab, Kerjasama, dan Pemberian Informasi yang Bermakna

Perusahaan harus memiliki perlindungan dasar dalam kontrak dengan vendor dan pemasok kunci serta memastikan pembebasan tanggung jawab yang bermakna. Selain itu, pihak vendor harus memiliki klausul pemberitahuan untuk memberitahu perusahaan secara cepat tentang insiden yang melibatkan mereka. Dewan direksi dapat mendorong tim manajemen risiko untuk meningkatkan ketentuan-ketentuan ini dalam kontrak dan memastikan mereka efektif dalam menghadapi insiden.

Aspek Kedua: Mengenal Kemampuan dan Mengambil Tindakan yang Dapat Dilakukan

Dewan direksi harus menilai kemampuan organisasi dalam menguji pembaruan perangkat lunak dan memahami perubahan kode yang terjadi. Organisasi dengan departemen IT yang kuat mungkin mampu melakukan ini, tetapi yang lain mungkin perlu bergantung pada pihak ketiga. Poin kunci di sini adalah memastikan bahwa organisasi dapat mengukur perubahan kode secara kontekstual dan menentukan apakah perubahan tersebut wajar dalam pembaruan perangkat lunak.

Aspek Ketiga: Asuransi untuk Risiko yang Tersisa

Dewan direksi dapat bekerja sama dengan tim manajemen risiko dan broker asuransi untuk mengeksplorasi opsi asuransi untuk risiko yang tidak dapat diatasi. Pasar asuransi siber yang dinamis menawarkan produk-produk baru yang dapat mencakup risiko ini. Mungkin juga memungkinkan untuk membuat polis asuransi yang sesuai dengan kebutuhan spesifik perusahaan.

Dewan direksi memiliki peran unik dalam memberikan pengawasan terhadap strategi mengatasi serangan siber pada rantai pasokan. Mereka dapat membawa praktik-praktik terbaik dari berbagai industri dan membantu organisasi menemukan pendekatan yang seimbang.

Artikel ini telah diterbitkan oleh Grant Thornton, dengan judul A Board’s Response to Supply Chain Cyberattacks. Artikel selengkapnya dapat dibaca di sini.

Pada tanggal 23 November 2022, Allianz melaporkan bahwa geopolitik dan serangan ransomware merupakan perhatian utama dalam daftar risiko siber bagi bisnis global. Selain itu, bisnis juga mengungkapkan kekhawatiran terhadap serangan yang didukung oleh pemerintah terhadap perusahaan, infrastruktur, dan rantai pasokan akibat perang di Ukraina dan ketegangan politik global lainnya.

Scott Sayce, kepala global siber di Allianz Global Corporate and Specialty, mengatakan bahwa lanskap risiko siber saat ini tidak memungkinkan adanya relaksasi. Serangan ransomware dan penipuan phishing tetap menjadi ancaman yang aktif, ditambah dengan potensi perang siber hibrida.

Meskipun jumlah serangan siber global mengalami penurunan sebesar 23 persen selama paruh pertama tahun 2022, Eropa justru mengalami peningkatan jumlah serangan tersebut. Bisnis dan organisasi diperkirakan akan mengeluarkan sekitar $30 miliar untuk mengatasi kerugian akibat serangan ransomware selama tahun ini.

Manajer risiko telah meningkatkan upaya untuk mengatasi ancaman ini. Laporan dari Swiss Re menyebutkan bahwa perusahaan, perusahaan asuransi, dan otoritas publik telah meningkatkan upaya manajemen risiko. Selain itu, asosiasi industri dan perusahaan asuransi telah bekerja sama untuk mengklarifikasi cakupan kebijakan asuransi tradisional terkait dengan risiko siber senyap, yang merupakan risiko yang tidak secara eksplisit dicakup maupun dikecualikan oleh kebijakan asuransi.

Peningkatan penggunaan asuransi sebagai perlindungan dari kerugian akibat serangan siber semakin umum dilakukan oleh manajer risiko. Namun, harga premi asuransi semakin meningkat, dan cakupan kebijakan semakin berkurang. Hal ini terungkap dalam survei Advisen-Zurich.

Michelle Chia, kepala tanggung jawab profesional dan siber di Zurich North America, menyatakan bahwa banyak pemimpin bisnis kesulitan mengukur dampak ancaman siber terhadap biaya asuransi, ketentuan kebijakan, dan pemilihan risiko. Dalam upaya melindungi bisnis mereka dari para peretas, beberapa langkah telah diambil. Zurich menemukan bahwa lebih dari setengah perusahaan telah meninjau manajemen vendor IT mereka, sementara 62 persen meningkatkan pelatihan karyawan dalam hal siber. Meskipun sebagian besar dari mereka menyatakan memiliki rencana tanggap insiden siber, hanya 60 persen yang menguji rencana tersebut secara berkala.

Secara keseluruhan, geopolitik dan serangan ransomware saat ini mendominasi perhatian dalam risiko siber bagi bisnis global. Meskipun tantangan ini semakin kompleks, upaya telah diambil untuk mengelolanya, baik dalam hal manajemen risiko maupun perlindungan asuransi.

Artikel ini telah diterbitkan oleh Enterprise Risk Mag, dengan judul Geopolitics and Ransomware Attacks Top Cyberrisk Concerns. Artikel selengkapnya dapat dibaca di sini.

Manajemen risiko rantai pasok keamanan siber semakin penting bagi perusahaan. Adopsi pusat data awan dan layanan perangkat lunak mengalami pertumbuhan. Ketergantungan pada rantai pasok global dan kompleks juga meningkat. Hal ini membawa berbagai kerentanan potensial yang bisa dimanfaatkan oleh penjahat siber. Berikut beberapa strategi kunci untuk mengidentifikasi dan mengurangi risiko dalam rantai pasok, terutama risiko ransomware.

Penting untuk memahami rantai pasok teknologi informasi perusahaan. Ini termasuk mengidentifikasi pemasok, subkontraktor, dan mitra lain yang memproses, mengirim, atau menyimpan data untuk produk dan layanan perusahaan. Setelah peta rantai pasok terbentuk, langkah berikutnya adalah mengenali risiko potensial yang ada di setiap komponen. Ini termasuk risiko eksternal seperti bencana alam, serta risiko internal seperti pergantian karyawan atau pelanggaran data.

Perusahaan perlu melakukan penilaian risiko dengan mengumpulkan dan menganalisis data dari berbagai sumber, seperti kontrak pemasok, kebijakan asuransi, dan laporan kepatuhan. Setelah risiko teridentifikasi, langkah selanjutnya adalah mengembangkan strategi untuk menguranginya. Ini melibatkan implementasi proses atau teknologi untuk mengurangi kemungkinan gangguan rantai pasok siber atau menetapkan rencana cadangan jika gangguan terjadi.

Selain langkah proaktif, memiliki rencana tanggap bencana juga penting untuk antisipasi saat terjadi gangguan dalam rantai pasok. Berkomunikasi secara jelas dengan para pemangku kepentingan seperti karyawan, pelanggan, dan pemegang saham juga krusial agar mereka memahami situasi dan langkah-langkah penanggulangannya.

Ransomware kini menjadi risiko besar bagi perusahaan yang bergantung pada pihak ketiga. Serangan ransomware pada sistem vendor dapat mengganggu aliran barang dan layanan, menyebabkan kerugian finansial dan reputasi perusahaan. Untuk mengurangi risiko ini, perusahaan harus melakukan penelitian cermat saat memilih vendor, mengevaluasi praktik keamanan mereka, dan meminta mereka untuk membuktikan ketangguhan siber secara rutin.

Selain itu, perusahaan juga harus memiliki strategi manajemen risiko lainnya, seperti rencana tanggap bencana, komunikasi alternatif, cadangan data dan sistem yang kuat, serta pembaruan rutin perangkat lunak untuk melindungi dari ancaman baru.

Kesimpulannya, manajemen risiko rantai pasok adalah aspek penting bagi perusahaan. Dengan memahami rantai pasok dan mengidentifikasi risiko, perusahaan dapat mengurangi dampak gangguan. Melalui langkah-langkah proaktif dan rencana tanggap bencana yang jelas, perusahaan dapat tetap beroperasi secara efektif dalam menghadapi tantangan.

Artikel ini telah diterbitkan oleh ISACA, dengan judul Ransomware Looms Large on Third-Party Risk Landscape. Artikel selengkapnya dapat dibaca di sini.

Dalam waktu yang terus bergejolak, dunia berada pada persimpangan penting. Saat kita memasuki era pertumbuhan rendah, investasi minim, dan kolaborasi terbatas, keputusan yang kita buat hari ini akan mendefinisikan lanskap risiko yang akan datang. Sangat penting bahwa respons kita terhadap krisis saat ini tidak mengalihkan perhatian dari perspektif jangka panjang kita.

Peristiwa-peristiwa baru-baru ini, seperti pandemi COVID-19 dan tantangan biaya hidup yang meningkat, secara perlahan merusak hasil ekonomi, pendidikan, dan kesehatan di sebagian populasi yang semakin melebar. Jurang yang semakin besar antara negara maju dan berkembang memperparah fenomena ini. Selain itu, peristiwa-peristiwa ini bersilangan dengan sejumlah risiko lingkungan dan geopolitik – termasuk perubahan iklim, penurunan ekosistem, dan konflik multibidang – yang menambah ancaman terhadap keamanan dan stabilitas sosial di seluruh dunia.

Beberapa prinsip umum dapat memperkuat kesiapan di berbagai bidang:

1. Memperkuat Identifikasi Risiko dan Prediksi: Pendekatan sistematis untuk mengidentifikasi dan memprediksikan perkembangan, risiko, dan peluang di masa depan sangat penting. Metode seperti pemindaian horizon dan perencanaan skenario, yang memanfaatkan data kualitatif dan kuantitatif, dapat membantu meramalkan tren-tren yang muncul. Menerima perbedaan pendapat para ahli dan membedakan antara risiko dan ketidakpastian adalah aspek penting dari proses ini.
2. Kalibrasi Nilai Risiko “Masa Depan”: Mengatasi mengatasi krisis-krisis mendesak adalah hal yang krusial. Sumber daya dan perhatian tidak boleh dialihkan dari risiko global yang mendasari bencana lokal atau yang mungkin muncul di luar kerangka waktu kepemimpinan saat ini.
3. Berinvestasi dalam Kesiapan Risiko Multi-Domain: Mengatasi risiko terkait dan ketergantungan antara sistem-sistem kritis memerlukan analisis yang canggih. Pandangan sistemik, seperti peran Pejabat Risiko Nasional dan Ketahanan, penting dalam memastikan prediksi risiko komprehensif, mitigasi, dan manajemen krisis.
4. Memperkuat Kesiapan dan Kerja Sama Respons: Kolaborasi lintas sektor, melibatkan pemerintah, bisnis, dan masyarakat sipil, penting untuk kesiapan yang efektif. Kemitraan antara swasta dan pemerintah dapat menjembatani kesenjangan dalam inovasi, pendanaan, tata kelola, dan pelaksanaan langkah-langkah mitigasi risiko.

Risiko global membutuhkan pendekatan ganda yang menyelaraskan manajemen krisis dengan ramalan jangka panjang. Sebagai contoh, setelah pandemi COVID-19, pemerintah harus menstabilkan sistem perawatan kesehatan sambil sekaligus mengatur lingkungan penyebaran penyakit zoonosis, mengatur penelitian fungsi gain, dan memantau permintaan sintesis di laboratorium biologi untuk mencegah wabah masa depan dari penyebaran alami, kecelakaan, dan ancaman.

Mengakui sifat saling terkait dari risiko global, memperkuat upaya ketahanan di berbagai bidang kritis bermanfaat dalam segala skenario. Walaupun tantangan seperti perubahan iklim, ancaman siber, dan ketidakpastian pangan mungkin tampak berbeda, efeknya dapat saling terkait, mengharuskan kesiapan yang holistik.

Kerja sama internasional mutlak diperlukan untuk mengatasi risiko global yang melampaui kepemilikan individu. Sementara krisis-krisis terbaru telah memicu introspeksi, penting untuk menghidupkan kembali proses multilateral dan organisasi untuk mengatasi risiko global yang muncul secara efektif.

Di dalam pemandangan risiko yang kompleks, keseimbangan antara kesiapan nasional dan kolaborasi global sangat penting. Para pemimpin harus merangkul kompleksitas, bertindak dengan visi seimbang untuk membentuk masa depan bersama yang lebih tangguh dan makmur, yang melampaui siklus terus-menerus dari krisis.

Laporan ini telah diterbitkan oleh World Economic Forum, dengan judul The Global Risks Report 2023. Laporan selengkapnya dapat dibaca di sini.

Covid-19 dianggap sebagai peristiwa black swan, yaitu kejadian yang berada di luar kondisi normal dan memiliki sejumlah konsekuensi. Sejumlah universitas di Amerika Serikat melewatinya dengan menerapkan perubahan operasional demi melindungi siswanya dan tetap memenuhi tujuan pendidikan.

Dalam keadaan dengan kendala sumber daya yang parah, organisasi/perusahaan perlu memprioritaskan pekerjaan yang berdampak pada operasi dan mempertahankan tingkat kepegawaian. Namun, pekerjaan-pekerjaan tertentu kerap kali terhenti karena berbagai alasan, misalnya cuti, pensiun dini, atau perampingan staf. Efek dari hal ini muncul dari waktu ke waktu, terutama jika pekerjaan yang tidak diprioritaskan justru memengaruhi kepatuhan dan keuangan (pengendalian data). Untuk itu, para pemimpin perlu memastikan adanya sistem pengendalian yang kuat untuk mengurangi risiko.

Beberapa pertimbangan pengendalian kepatuhan dan keuangan adalah sebagai berikut.

Sistem Pengendalian Internal (SPI) yang Efektif

Sistem pemantauan internal didokumentasikan dengan prosedur pengendalian utama untuk memastikan berjalannya kinerja. Beberapa kerangka kerja memberikan panduan penilaian dan mitigasi risiko ketidakpatuhan, termasuk standar yang ditetapkan oleh Committee of Sponsoring Organizations of the Treadway Commission (COSO), Standards for Internal Control in the Federal Government (atau dikenal sebagai Green Book), Uniform Guidance and Compliance Supplement, dan American Institute of Certified Public Accountants (AICPA).

Selain itu, setidaknya terdapat lima langkah yang dapat dilakukan dengan tujuan membangun SPI yang efektif.

• Pertama, perhatikan pengendalian utama. Hal ini berkontribusi terhadap integritas data keuangan dan operasi. Dokumentasi pengendalian yang terdistribusi dan terpusat penting untuk dilakukan.
• Kedua, manfaatkan teknologi. Selama pandemi, sejumlah organisasi melaksanakan kerja jarak jauh. Ketergantungan yang besar pada proses manual berganti dengan otomatisasi.
• Ketiga, tinjau peran dan tanggung jawab. Risiko ketidakpatuhan dapat dikurangi dengan mendefinisikan peran secara jelas. Hal ini dilakukan tidak hanya untuk efektivitas, tetapi juga efisiensi.
• Keempat, menetapkan program pemantauan. Elemen penting dari SPI adalah verifikasi berkelanjutan. Langkah pemantauan ini diharapkan dapat memastikan pengendalian utama berjalan dengan baik.
• Kelima, melakukan pengendalian dengan bijaksana. Dokumentasi pengendalian harus selalu diperbarui selagi prosedurnya ditingkatkan. Hal ini bertujuan untuk memenuhi perubahan kebutuhan.

Artikel ini telah diterbitkan oleh Huron, dengan judul Strategies for Maintaining Critical Controls During Staffing Uncertainties. Artikel selengkapnya dapat dibaca di sini.