Penulis: Charles R. Vorst, BCCS, CERG, ERMCP, QCRO, QRGP.
Pada kesempatan kali ini, penulis hendak berbagi pengalaman ketika berkesempatan terlibat sebagai salah satu fasilitator dalam suatu program Master Class Enterprise Risk Governance di Ho Chi Minh City, Vietnam, tanggal 22-23 Juni 2018 yang baru lalu. Acara tersebut diikuti oleh para peserta yang merupakan para profesional bidang manajemen risiko dari beragam industri di Vietnam, Filipina, dan Indonesia. Salah satu yang menarik dari rangkaian diskusi adalah pada sesi cyber risk management.
Pertama, risiko siber kini tidak hanya muncul hasil survei top risks tahunan, melainkan juga telah menjadi ancaman nyata bagi perusahaan-perusahaan peserta master class berasal. Kasus yang belum lama ini sempat hangat dibahas di berbagai media cetak dan daring di tanah air, beberapa nasabah bank terkemuka mengeluhkan uangnya yang mendadak hilang dari tabungan. Ini hanyalah salah satu contoh nyata rangkaian serangan siber yang terjadi di Asia Tenggara.
Kasus-kasus serangan siber akan terus berevolusi ke dalam bentuk-bentuk yang mungkin belum terbayangkan saat ini. Dalam Southeast Asia Digital Economy 2025 Report yang dirilis oleh Google menunjukkan bahwa akhir tahun 2017 lalu setidaknya terdapat 330 juta pengguna internet (meningkat 70% dibandingkan tahun 2015). Nilai ekonomi digital mencapai USD 50 milyar dan akan terus naik hingga mencapai USD 200 milyar di tahun 2025 nanti.
Seluruh peserta master class meyakini bahwa saat ini manajemen puncak perusahaan harus memahami apa yang dimaksud dengan risiko siber dan apa yang perlu diupayakan oleh perusahaan dalam rangka membangun manajemen risiko siber yang efektif.
Kedua, untuk mewujudkan manajemen risiko siber yang efektif, manajemen puncak setidaknya perlu memahami tiga ide berikut. 1) Informasi apa yang menjadi aset data bagi perusahaan. Untuk itu harus diproteksi, identifikasi di mana dan siapa yang mungkin melancarkan serangan, motif apa yang mungkin menjadi latar belakang serangan, serta informasi apa yang berpotensi menjadi incaran. 2) Kerawanan atau potensi kebocoran. Identifikasi apa yang mungkin terjadi, tidak hanya terbatas pada keandalan infrastruktur perangkat keras dan lunak saja, melainkan termasuk kesadaran, perilaku, dan kompetensi seluruh pihak internal, maupun ketersediaan kebijakan dan prosedur yang dibutuhkan. 3) Apa yang harus dilakukan oleh perusahaan untuk memperkecil tingkat kerawanan dan mencegah potensi kebocoran?
Ketiga, serupa dengan praktik manajemen risiko lainnya, kita perlu berkontribusi terhadap efektivitas manajemen risiko siber yang diterapkan di lingkungan perusahaan dan memulainya dari diri kita sendiri, di posisi manapun kita menjabat di dalam perusahaan, dengan cara melakukan apa yang kita bisa. Contohnya bijak dan berhati-hati dalam mengelola data dan informasi, tertib dalam menggunakan perangkat, serta disiplin dalam tindak pencegahan dan pengamanan. Terkait dengan hal ini, jangan ragu untuk berkonsultasi lebih lanjut dengan karyawan di departemen TI agar kita semakin paham mengenai hal-hal apa yang patut dan dapat kita lakukan demi menangkal ancaman risiko siber.